O que o Ransomware as a Service (RaaS)

O ransomware continua a ser uma ameaça grave para as organizações. Os ataques de ransomware estão aumentando, alguns relatórios de várias entidades, mostram que os ataques de ransomware aumentaram 25% do quarto trimestre de 2019 ao primeiro trimestre de 2020.

O valor do pagamento médio do resgate também aumentou significativamente. Do terceiro trimestre de 2019 ao quarto trimestre de 2019, o pagamento médio do resgate aumentou de $ 41.198 para $ 84.116, um aumento de 104 por cento de acordo com um relatório da Coveware de janeiro de 2020.

Além disso, de acordo com um relatório Coveware de abril de 2020, durante o primeiro trimestre de 2020 o pagamento médio do resgate foi de US $ 111.605, o que é um aumento de mais de 33 por cento em relação ao quarto trimestre de 2019.

Comecei a escrever meu artigo com alguns números para demostrar os lucros por trás do motivo pelo qual o ransomware continua sendo uma ferramenta importante para o crime cibernético, a maioria utilizam ransomware como serviço (RaaS), uma mudança no modelo de negócios do ransomware que pode levar a um aumento significativo na atividade de ransomware.

Ransomware é um malware que usa criptografia forte para bloquear arquivos, tornando a descriptografia praticamente impossível sem uma chave

Os ataques de ransomware são amplamente oportunistas e normalmente infectam alvos fáceis na esperança de obter a maior recompensa financeira. Depois que um invasor usa ransomware para criptografar os dados da vítima, ele envia uma nota de resgate exigindo o pagamento de uma ferramenta de descriptografia para recuperar os dados mantidos como reféns. A menos que as organizações tenham um plano de contingência para recuperar seus dados, ou os arquivos criptografados não tenham valor, as vítimas acabam pagando o resgate ou perdem seus arquivos. É importante notar que mesmo que as vítimas paguem o resgate, elas podem não recuperar o acesso aos seus dados. O FBI recomenda não pagar o resgate aos atacantes e o Departamento do Tesouro dos EUA agora está explorando penalidades financeiras para organizações que pagam resgate para recuperar seus dados.

Variantes de ransomware ativos

A Tabela abaixo mostra os 10 variantes de ransomware mais ativas no primeiro trimestre de 2020.

Das 10 principais variantes ativas de ransomware listadas acima, Sodinokibi, Phobos, Dharma e GlobeImposter são conhecidos por usar o modelo de negócios ransomware como serviço (RaaS), que é explicado no parágrafo abaixo.

Como e contratado o  Ransomware as a Service (RaaS)?

RaaS é um novo modelo de negócios para desenvolvedores de ransomware. Como o software como serviço (SaaS), os desenvolvedores de ransomware vendem ou alugam suas variantes de ransomware para qualquer pessoa que contrata este serviço na DeepWeb, e estas pessoas usam para realizar um ataque. O modelo de negócios RaaS torna o ransomware utilizável por pessoas que não entendem de computador, e em busca de dinheiro fácil, o que torna este modelo mais perigoso ainda. A foto em baixo mostra um fluxo de trabalho para um ataque usando uma plataforma RaaS; essa foto esta disponivel nos white papers da SEI https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=644888 .

As seguintes etapas ocorrem neste fluxo de trabalho:

1-     O desenvolvedor do ransomware cria um código de exploração personalizado que é então licenciado para quem adequiriu, por uma taxa ou participação nos lucros do ataque.

2-     O comprador utiliza este código em Sites, Email Phishing ou Engenharia social etc..

3-     O comprador identifica e tem como alvo um vetor de infecção e entrega o código de exploração à vítima (por exemplo, via e-mail malicioso).

4-     A vítima clica no link ou vai para o site.

5-     O ransomware é baixado e executado no computador da vítima.

6-     O ransomware criptografa os arquivos da vítima, identifica alvos adicionais na rede, modifica as configurações do sistema para estabelecer persistência, interrompe ou destrói backups de dados e cobre seus rastros.

7-     A vítima recebe uma nota de resgate e é instruída a pagar o resgate com fundos não rastreáveis, normalmente criptomoeda.

8-     Um lavador de dinheiro movimentará o dinheiro por meio de várias transformações para ocultar as identidades do comprador e desenvolvedor do ransomware.

9-     O comprador do ransomware pode enviar um descriptografador para a vítima assim que o pagamento do resgate for recebido. O comprador pode fazer exigências adicionais à vítima ou não fazer nada e deixar a vítima com arquivos criptografados.

Por que o RaaS é importante e porque estou escrevendo este artigo?

Os pagamentos de resgate estão se tornando mais caros e podemos supor que a lucratividade do ransomware está aumentando para os invasores. Com o RaaS, o ransomware não está mais limitado aos desenvolvedores que o criam. Os desenvolvedores de ransomware agora vendem seus produtos para clientes de ransomware que os usam para extorquir organizações. O RaaS diminui o risco para desenvolvedores de ransomware, uma vez que eles não precisam executar ataques.

Para os compradores de ransomware, o RaaS reduz o custo para realizar ataques, pois eles podem usar ransomware pré-construído, temos na DeepWeb RAAS que começam com 40US$ e vai até 4000US$ conforme a complexidade. O RaaS expande o cenário de ameaças de ransomware porque os compradores não precisam mais desenvolver sua própria variante para realizar um ataque e ganhar dinheiro. Para desenvolvedores de ransomware, o RaaS pode ser tão lucrativo quanto pagamentos diretos de resgate, já que tanto os desenvolvedores quanto os compradores recebem uma porcentagem dos resgates pagos, e o ransomware está afetando mais alvos e ocorrendo com mais frequência.

Um problema persistente

A ameaça do ransomware está crescendo. Os ataques de ransomware estão aumentando e o valor monetário dos pagamentos de ransomware está aumentando rapidamente. O modelo de negócios RaaS está ganhando popularidade entre os desenvolvedores de ransomware, conforme indicado pelo número crescente de variantes de ransomware usando o modelo. Este aumento cria mais oportunidades para compradores externos usarem ransomware, expandindo ainda mais o cenário de ameaças para as organizações. De modo geral, o ransomware continuará sendo um problema no futuro previsível, portanto, é imperativo que as organizações tomem medidas preventivas para se proteger.