Ransomware-as-a-service – en lukrativ affärsmodell

Vad är Ransomware-as-a-service? Hur prissätts det? Hur går attacken till? Och hur stoppar du en attack? David Kasabji, Threat Intelligence Engineer hos Conscia, delar med sig av insikter från dark web.

Ransomware i form av skadlig programvara är ingen nyhet. Redan 1989 skrev Joseph Popp världens första kända ransomware: PC Cyborg Trojan. Sedan 2010 har attackerna ökat, vilket kanske inte är så förvånande med tanke på att cyberbrottslingar bara under 2021 tjänade över 20 miljarder dollar.

Möjliga höga vinster har banat väg för nya affärsmodeller, varav en är RaaS (ransomware-as-a-service). Det innebär att underleverantörer betalar en RaaS-operatör för tekniken som krävs för att utföra en attack.

Så prissätts ransomware-as-a-service

På dark web finns färdiga RaaS-kit (ransomware-as-a-Service) som säljs precis som andra e-handelstjänster. RaaS-operatörerna har dedikerade webbplatser med kundsupport, supportforum, recensioner etc. Priserna för ett färdigt paket sträcker sig från från runt 50 EUR till tusentals euro. Med tanke på att den genomsnittliga lösensumma vid en attack 2021 var 6 miljoner dollar är det här överkomliga priser. Betalningsmetoderna varierar, men de vanligaste är:

Prenumerationsmodell (månadsvis, årligen)
Vinstdelning
Engångslicensavgift

Avancerade RaaS-aktörer har moderna användarvänliga webbportaler som hjälper underleverantörerna att komma igång snabbt.

Så går en typisk attack till:

Med moderna webbapplikationer och hög användarvänlighet har Hive Ransomware ökat i popularitet. Här kan köparna skapa en unik ransomware på mindre än 15 minuter. När MediaMarkt i november 2021 krävdes på 240 miljoner dollar i det enskilt största lösenkravet hittills var det med ransomware härifrån.

Så här kan Hives webbportal se ut för köparna:

Källa: Hives webb

Som köpare får du tillgång till en kundsupportportal där offren kan logga in för att förhandla om en dekrypteringsnyckel.

Källa: Group IB – Hive från insidan

Portalen är uppdelad i tre kolumner:

Kolumn ett: Här finns information om offrets företag, inklusive intäkter och antal anställda
Kolumn två: Livechattinteraktion med RaaS-operatör och/eller underleverantör
Kolumn tre: Nedladdning av dekrypteringsmjukvara efter framgångsrik betalning

Om lösenkraven inte uppfylls läcker RaaS-operatören de stulna uppgifterna på dedikerade läckagewebbplatser.

Källa: HiveLeaks websida

Alla RaaS-websidor hostas från dark web.

Exempel på ransomware-as-a-service-aktörer

DarkSide
REvil
Hive
LockBit

Så stoppar du en attack:

RaaS-attacker stoppas på samma sätt som andra ransomware-attacker. Resurserna hos just er organisation avgör vilka metoder som är möjliga.

De främsta metoderna för att hindra attacker:

Viktigast är krypterade säkerhetskopior som ligger offline. Sofistikerad ransomware kommer att försöka hitta och radera alla andra säkerhetskopior. Läs mer om god säkerhetskopiering i vårt whitepaper om Rubrik här:
Skapa, uppdatera och träna på en handlingsplan vid cyberincidenter.
Genomför regelbunden sårbarhetsskanning.
Uppdatera löpande programvara till den senaste versionen.
Tillämpa högsta möjliga säkerhet vid distansarbete och spana regelbundet efter misstänkt aktivitet i nätverket.
Inaktivera eller blockera utgående SMB-protokoll och ta bort eller inaktivera föråldrade SMB-versioner.
Uppdatera anti-malware-programvara och signaturer.
Använd frilista som säkrar att endast auktoriserad programvara kan köras på dina system.
Överväg IDS- och EDR-system som snabbt upptäcker potentiella intrång.
Hotaktörer kan utnyttja en tredje part för att nå din IT-miljö. Säkra att samarbetspartners och tjänsteleverantörer agerar cybersäkert.
Använd MFA (multifaktorautentisering) i den utsträckning det är möjligt.
Utgå från lägsta privilegieprincipen.
Säkra att ditt nätverk är segmenterat på ett sätt som begränsar möjligheterna till laterala rörelser.
Om möjligt begränsa användningen av skriptverktyg såsom PowerShell och Python.
Övervaka gärna nätverket under en längre tid och skapa jämförelsepunkt som gör det lättare att upptäcka avvikelser senare.

Conscia hjälper dig att säkra din IT-miljö och Conscia Cyberdefense spanar löpande efter potentiella intrång.

Vill du veta mer?

Välkommen!

Ransomware-as-a-service – en lukrativ affärsmodell

NYHETSBREV

Kostnadsfria guider (pdf)

Whitepaper: Ryska hackare med statligt stöd

Whitepaper: Den mänskliga faktorn i din cybersäkerhet

Whitepaper: Cyberhoten från Ukrainakriget – vad du behöver veta

Vad är AIOps? En guide till AI för IT-avdelningen

TLS: Så skyddar du dig när Internet blir mörkt

Relevanta webinarer

Inspelat webinar: Zero Trust säkerhetswebinar med Cisco 27/3 – Nolltillit du KAN lita på

Inspelat webinar: Skydda och förbättra interaktion mellan IoT, OT och IT

Inspelat webinar: Skydda dina hybrida medarbetare med Palo Alto Prisma Access

Områden

Kategorier

Så prissätts ransomware-as-a-service

Så går en typisk attack till:

Exempel på ransomware-as-a-service-aktörer

Så stoppar du en attack:

Relevant innehåll

Cisco ASA och FTD under attack

AI:s roll i att både förvärra och bekämpa cyberbrott

Deepfakes ställer krav på din vaksamhet

Inspelat webinar: Framtidens cybersäkerhet – SSE och SASE

Kontakta oss!