Ransomware как услуга: готовая инфраструктура заработка на ваших данных

Киберугрозы становятся все более изощренными. Одной из самых опасных является Ransomware-as-a-Service (RaaS) – по сути предоставление программы-вымогателя в аренду. Эта услуга позволяет даже неопытным хакерам зарабатывать на похищении данных, предоставляя им доступ к мощным инструментам для шифрования и вымогательства. Рассмотрим, как функционирует этот теневой рынок, какие методы используют злоумышленники для атак на компании и частных пользователей, а также как защитить свои данные в условиях растущей угрозы.

Автор: Дмитрий Калинин, руководитель департамента по работе с уязвимостями и инцидентами ИБ “Бастион”

Что такое Ransomware-as-a-Service?

RaaS – это бизнес-модель распространения определенного вредоносного программного обеспечения – программ-вымогателей. Модель в основном функционирует в Даркнете и предлагает третьим лицам использовать вредоносную программу по подписке или за процент от полученной прибыли после успешной атаки. Хакеры выбирают RaaS-решение, когда у них нет времени или возможности разработать собственное вредоносное ПО: так они могут осуществить атаку практически без предварительной подготовки.

Модель появилась в 2009 г. примерно одновременно с появлением криптовалют, которые в существенной мере способствовали ее эффективности. Впрочем, несмотря на приличный срок существования, называть популярной данную модель в России еще рано.

Выгоды для преступников

Модель RaaS, как правило, имеет иерархическую структуру. Во главе находятся операторы сервиса, которые подразделяются на определенные роли: администраторов, разработчиков, тестировщиков и так называемых "кассиров" – операторов, задача которых принимать выкуп и предоставлять ключи расшифровки. Данная модель работает подобно легальному сервису, у которого существуют различные варианты подписок:

• Единовременная плата – приобретение экземпляра шифровальщика, с которым злоумышленник может распоряжаться как угодно, в том числе внося различные изменения и дополнения.
• Ежемесячная подписка – в данном случае оплачивается абонентская плата за доступ к инструментам, то есть злоумышленник может скачивать последнюю версию программы в личном кабинете.
• Партнерские программы – клиент сервиса вносит регулярные платежи за получение всех преимуществ сервиса, а также делится незначительной долей выкупа, полученного от использования шифровальщика.
• Распределение прибыли – операторы сервиса не берут никакой платы за использование сервиса, но берут значительный процент с каждого полученного выкупа.

Модель оформления доступа у каждого RaaS своя – у кого-то доступен только один вариант подписки, у кого-то несколько.

По большому счету жертвой Ransomware-as-a-Service может стать любая организация, но все-таки в зону большего риска попадают компании с низким уровнем зрелости процессов информационной безопасности. К услугам RaaS зачастую прибегают начинающие хакеры, не ставящие перед собой целью сразу пробиться в крупную инфраструктуру. Они приобретают доступ к сервису "на попробовать" и сперва атакуют слабо защищенные компании с целью отбить затраты на сервис.

Защита данных и предотвращение атак

Можно выделить несколько основных рекомендаций, как защитить данные компании и максимально обезопасить себя от атак:

1. Первый и основной шаг – создание и поддержание в рабочем состоянии актуальных резервных копий. Лучше, когда копий несколько: часть из них ни при каких условиях не должна быть доступна для атаки.
2. Не забывайте руководствоваться принципом наименьших привилегий и разграничением доступа к данным. Чтобы файл был зашифрован, программа-вымогатель должна иметь соответствующие права, в контексте которых она выполняется. Как правило, перед запуском вымогателя, атакующие пробуют получить максимальные привилегии в инфраструктуре, поэтому необходимо приложить максимум усилий, чтобы атакующие не завладели административными привилегиями.
3. Ведите регулярное наблюдение за актуальностью обновлений операционных систем и приложений, это поможет снизить риск эксплуатации злоумышленником тривиальных уязвимостей и вовремя внедрять дополнительные меры для защиты от атак.
4. Внедрение строгой парольной политики в компании, как минимум для привилегированных учетных записей, позволит снизить вероятность их компрометации, а также сузит поверхность атаки.
5. Нельзя забывать о компьютерной гигиене, важно систематически информировать сотрудников о потенциальных рисках запуска файлов, полученных из недоверенных источников.

Тренды и изменения в модели RaaS

В ближайшие несколько лет хакеры активно начнут применять ИИ для создания новых семплов программ-вымогателей. Использование нейросетей позволит злоумышленникам автоматизировать процессы разработки, улучшить адаптацию вредоносного ПО к различным системам и повысить эффективность атак.

Наблюдается также расширение рынка RaaS, что приводит к усилению конкуренции, которая способствует повышению качества отдельных предложений в рамках модели. Впоследствии есть возможность ухода от модели RaaS к более глобальной модели MaaS (Malwareas-a-Service), что станет логичным шагом в эволюции киберпреступности с учетом широкого спектра услуг, который предлагает модель MaaS.

Влияние искусственного интеллекта

Злоумышленники уже используют языковые модели на основе ИИ для написания кода. Генеративный ИИ может помочь менее опытным злоумышленникам создавать новые штаммы и вариации существующих программ-вымогателей, потенциально увеличивая количество атак, которые они могут выполнить.

Помимо этого, развитие ИИ помогает операторам RaaS в создании обфусцированного кода, который труднее обнаружить и анализировать. На плечи ИИ можно также переложить часть задач по предоставлению поддержки клиентам RaaS-платформ, отвечая на вопросы и помогая в настройке атак.

Законодательная система борется с киберпреступностью. Однако существует ряд причин, из-за которых выявление преступления и привлечение к ответственности может вызывать трудности:

• Получение выкупа и оплаты услуг RaaS производится с помощью криптовалют, что затрудняет отслеживание финансовых транзакций.
• Многие RaaS-платформы работают в Даркнете, что позволяет в значительной мере сохранять анонимность.
• Часто киберпреступления носят трансграничный и транснациональный характер, что усложняет расследование и судебное преследование из-за различий в законодательствах и сложностях в координации между правоохранительными органами разных стран. Кроме того, в некоторых из них и вовсе может отсутствовать законодательство для борьбы с киберпреступностью.
• Киберпреступники нередко опережают правоохранительные органы в использовании новых технологий и методов.
• Юридические тонкости: поставщики RaaS совмещают несколько способов оплаты, например, берут деньги за подписку и в то же время долю от выкупа, что усложняет процесс установления ответственности.

Комментарий эксперта

Можно ли отследить злоумышленников по криптоследу?

Александр Подобных, член международного комитета цифровой экономики БРИКС, руководитель комитета по безопасности цифровых активов и противодействию мошенничеству АРСИБ, судебный эксперт

Практика прошлых лет показывает, что шифровальщики-вымогатели по большей части еще используют классические криптовалюты для вымогательства и вывода средств, такие как биткоин и эфириум. Однако в прошлом году росла и доля использования стейблкоинов (USDT) и других криптовалют, находящихся в десятке по объему капитализации. Но при выводе в фиат (то есть в "обычные" деньги) или консолидации средств злоумышленниками также использовались классические BTC/ETH.

В отличие от мошенников, такие хакеры используют больше технические средства анонимизации (миксеры и свопы) при заметании следов. Они перемешивают средства и меняют одни активы на несколько других. При выводе преимущественно используют фейковые профили и аккаунты, созданные уже даже при помощи ИИ (скан паспорта, голоса, видео для KYC). Они применяются в обменниках и криптобиржах при выходе в фиат. Часто средства выводятся через слабоконтролируемые p2p-обменники.

Тем не менее информация по каждому случаю постепенно консолидируется и анализируется силовыми структурами и в первую очередь сообществом: собирается атрибутика и адреса миксеров и свопов, средства и объемы мониторятся. Чем больше сведений собрано, тем более реален сценарий деанонимизации хакеров и их адресов в будущем. И таких случаев становится больше, даже если злоумышленники обменивают небольшую сумму в другом цифровом активе. Важна здесь и роль правоохранительных органов – они могут физически арестовать сервисы и лица, причастные к такой незаконной деятельности. В результате сведения и атрибуты по адресам обогатятся из судебных решений и других процессуальных документов.