O que é ransomware como serviço (RaaS)?

O que é ransomware como serviço?

O ransomware como serviço (RaaS) é uma forma de empreendimento criminoso em que as gangues de ransomware predadoras (também conhecidas como operadores de ransomware) contratam seus serviços, ou seja, implantam o ransomware contra um alvo e, em seguida, extorquem os pagamentos, para afiliados. A maioria das operações de RaaS usa um modelo de compartilhamento de receita em que os operadores de ransomware comissionam uma porcentagem do resgate a um afiliado em troca do acesso inicial a uma rede-alvo. Esse modelo divide a sequência de ataques de ransomware em duas fases distintas: obtenção de acesso inicial e um ataque de segundo estágio que busca comprometer dados valiosos. Ao segmentar os estágios de um ataque cibernético, tanto o operador do ransomware quanto o afiliado aproveitam os conjuntos de habilidades especializadas um do outro, aumentando as chances gerais de sucesso. Existe um segundo modelo de RaaS no qual os afiliados pagam uma assinatura ou uma taxa fixa para comprar cargas de ransomware dos operadores de ransomware.

Os dois modelos de negócios de RaaS mais comuns:

1. Modelo de participação nos lucros

O operador do ransomware coleta o resgate e compartilha uma porcentagem com o afiliado. Esse é o modelo mais comum para situações em que os afiliados fornecem acesso inicial.

2. Modelo de assinatura ou de taxa fixa

Os afiliados pagam uma assinatura periódica (mensal) ou uma taxa única por uma cópia "faça você mesmo" da carga útil do ransomware, conhecida como kit de ransomware. O comprador configura o kit de ransomware e o implementa contra o alvo escolhido.

O RaaS é um dos maiores impulsionadores do crescimento agressivo do ransomware, pois permite que possíveis agentes de ameaças que não possuem habilidades avançadas de hacking façam parcerias com agentes de ameaças persistentes avançadas (APT) altamente qualificados e operadores suspeitos de serem estados-nação. Essa abordagem de tag-team aumenta a potência do ataque, permitindo que todas as partes envolvidas se concentrem em apenas uma pequena parte do processo de exploração.

Coletivamente, as gangues de ransomware extorquiram mais de US$ 600 milhões de suas vítimas em 2021; considerando que o pagamento médio de ransomware por incidente foi de mais de US$ 800.000, fica claro como o RaaS representa uma oportunidade de lucro para os afiliados, mesmo com uma baixa taxa de comissão.

Ransomware vs. Ransomware como serviço

O ransomware é um malware que criptografa os dados de um alvo e exibe um aviso com instruções para enviar o pagamento em troca de ferramentas de descriptografia. O RaaS é um modelo de empreendimento criminoso no qual os desenvolvedores de ransomware oferecem seus serviços a afiliados, seja vendendo cargas úteis de exploração por uma taxa fixa ou compartilhando o dinheiro da extorsão com afiliados parceiros que fornecem acesso inicial a uma rede-alvo, permitindo que o operador do ransomware continue o ataque.

Como funciona o ransomware como serviço

No modelo RaaS, os principais agentes de ameaças de ransomware, conhecidos como operadores, fazem parcerias com afiliados para distribuir ransomware contra um alvo. O afiliado pagará uma taxa fixa ao operador para lançar uma campanha ofensiva de ataque cibernético contra um alvo específico ou fornecerá acesso inicial a uma rede já comprometida em troca de uma porcentagem de quaisquer fundos extorquidos. Dessa forma, o RaaS opera de forma semelhante às redes profissionais B2B legítimas.

Os afiliados geralmente desenvolvem ataques sofisticados de engenharia social que usam técnicas de phishing ou spear-phishing para obter acesso inicial. Eles também podem obter acesso inicial por meio de vulnerabilidades não corrigidas, erros de configuração, comprometimento de contas de usuários existentes usando credenciais roubadas ou dados divulgados de ataques cibernéticos anteriores para testar senhas reutilizadas ou até mesmo acesso físico às instalações de um alvo.

A comunicação e a negociação acontecem em fóruns da Dark Web hospedados pelos operadores de ransomware. Há pelo menos 25 desses portais conhecidos por oferecerem explicitamente o RaaS.

Quem são os operadores de ransomware como serviço?

As gangues de RaaS são empresas criminosas bem organizadas com estruturas corporativas complexas e definidas que têm hierarquias operacionais com vários níveis de gerenciamento e cargos designados, como líderes de equipe, desenvolvedores, administradores de infraestrutura e de sistema e até mesmo agentes de suporte para ajudar os afiliados a implantar o ransomware e as vítimas a pagar o resgate para recuperar o acesso a seus arquivos.

Operadores de RaaS prolíficos

Ryuk
LockBit
REvil (também conhecido como Sodinokibi)
Maze (também conhecido como Egregor)
Netwalker
Armário Ragnar
DopplePaymer

CylanceGUARD para proteção contra ransomware

Como um serviço de XDR gerenciado 24x7x365 centrado no ser humano e baseado em assinatura, CylanceGUARD^® oferece o conhecimento e o suporte de que as empresas precisam para prevenir e proteger contra ataques de ransomware. CylanceGUARD combina o conhecimento abrangente incorporado pelo BlackBerry Cybersecurity Services com a proteção de endpoints (EPP) baseada em IA por meio de CylancePROTECT^®autenticação e análise contínuas por meio de CylancePERSONA^™e detecção e correção de ameaças no dispositivo por meio de CylanceOPTICS^®. Em resumo, o site CylanceGUARD fornece aos negócios as pessoas e a tecnologia necessárias para proteger a empresa contra o cenário moderno de ameaças.

SAIBA MAIS

Mais recursos

Ransomware como serviço (RaaS)