Ransomware as a Service: o que é e como funciona

O ransomware é uma das ameaças digitais mais sofisticadas. Tipo de malware que tem a capacidade de criptografar e sequestrar dados e sistemas, exige o pagamento de um resgate para liberá-los. Esse tipo de ameaça geralmente é transmitido por meio de sites e e-mails maliciosos, como phishing.

Por quase 30 anos, diferentes tipos de ransomware aterrorizaram empresas e pessoas, tornando-se manchetes. Nos últimos anos, ataques de ransomware causaram bilhões de dólares em danos.

Sem dúvida, o ransomware é uma das armas favoritas dos hackers, pois é uma ferramenta super eficaz para fornecer uma renda rápida e simples.

Por um tempo, os relatórios de segurança cibernética apontaram para um aumento no número de casos envolvendo esse tipo de malware. Uma das possíveis explicações para isso é justamente o RaaS.

Ransomware-as-a-Service
Claranet: O que é Ransomware como serviço e como funciona

O que é Ransomware as a Service?

O RaaS - Ransomware as a Service, é um modelo baseado em assinatura que permite aos usuários, também conhecidos como afiliados, usar ferramentas de ransomware para executar ataques.

Ao contrário do ransomware normal, o RaaS é um provedor de ferramentas de ransomware prontas para uso para assinantes que pagam para serem afiliados do programa. Com base no Software as a Service (SaaS), os afiliados RaaS pagam pelo uso contínuo de software mal-intencionado.

Alguns afiliados pagam menos de US$ 100 por mês, enquanto outros pagam mais de US$ 1.000. Independentemente do custo da assinatura, os afiliados ganham uma porcentagem de cada pagamento de resgate bem-sucedido após um ataque. O RaaS permite que ataques maliciosos com recompensas lucrativas sejam coletados sem esforço, mesmo por usuários sem conhecimento prévio ou experiência na área.

Pesquisadores do Zscaler ThreatLabz descobriram que os ataques de ransomware aumentaram 80% ano a ano. Um dos fatores para a proliferação bem-sucedida do ransomware é a facilidade com que os operadores de ransomware (ou desenvolvedores) podem distribuir seu malware por meio do Ransomware as a Service.

Curiosamente, o relatório do Zscaler ThreatLabz também revelou que o método RaaS foi usado por oito das 11 principais famílias de ransomware.

Como funciona o Ransomware as a Service?

Embora muitos acreditem que as pessoas por trás de ataques cibernéticos, como o ransomware, sejam programadores altamente talentosos, a realidade é que muitos invasores não criam seu próprio código e podem nem saber como fazê-lo. Em vez disso, os cibercriminosos com habilidades de codificação frequentemente vendem ou alugam as vulnerabilidades que desenvolveram.

Os kits RaaS são anunciados para possíveis compradores na dark web da mesma forma que outros produtos e serviços são comercializados em portais legítimos da web. Esses kits podem vir com suporte técnico, ofertas combinadas, descontos por volume, análises de usuários, fóruns da comunidade e outros recursos semelhantes aos provedores legítimos de SaaS.

Operadores habilidosos de ransomware criam software com grande chance de sucesso na penetração e baixa chance de descoberta. Depois de desenvolvido, o ransomware é modificado para oferecer suporte a uma infraestrutura de vários usuários finais, pronta para ser licenciada para possíveis afiliados.

Duas partes trabalham juntas para executar um ataque de Ransomware as a Service bem-sucedido: desenvolvedores e afiliados. Os desenvolvedores são responsáveis por criar um código específico dentro do ransomware, que é então vendido a um afiliado.

Os desenvolvedores fornecem o código do ransomware junto com instruções sobre como iniciar o ataque. O RaaS é fácil de usar e requer conhecimento técnico mínimo. Qualquer indivíduo com acesso à dark web pode fazer login no portal, tornar-se um afiliado e iniciar ataques com o clique de um botão.

Para começar, os afiliados selecionam o tipo de malware que desejam espalhar e pagam com alguma forma de criptomoeda, geralmente Bitcoin.

O pagamento conclui o esforço de ataque e os invasores começam a espalhar o malware e infectar as vítimas. Ao iniciar um ataque de ransomware, os cibercriminosos frequentemente empregam operações de phishing ou engenharia social para enganar os invasores e fazê-los baixar e executar o malware malicioso.

Assim que o malware é ativado, a máquina da vítima é criptografada e torna-se inútil, e o invasor exibe uma mensagem com instruções sobre onde enviar o resgate. É importante observar que essas técnicas são baratas em comparação com a compra de um exploit de dia zero ou um backdoor.

Depois que o ataque é bem-sucedido e o dinheiro do resgate é recebido, os lucros são divididos entre o desenvolvedor e o afiliado. A forma como o dinheiro é dividido depende do tipo de modelo de receita.

Os quatro modelos de receita RaaS

Ransomware como serviços podem gerar receita de várias maneiras. Há uma variedade de esquemas de preços que os provedores podem escolher:

  • Assinatura mensal: os usuários pagam uma taxa fixa mensalmente e ganham uma pequena porcentagem de cada resgate bem-sucedido;
  • Programas de afiliados: uma pequena porcentagem dos lucros vai para o operador RaaS com o objetivo de executar um serviço mais eficiente e aumentar os lucros;
  • Taxa de licença única: como o nome do modelo indica, os usuários pagam uma taxa única sem participação nos lucros. Os afiliados têm acesso perpetuamente;
  • Participação nos lucros pura: os lucros são divididos entre usuários e operadoras com porcentagens predeterminadas na compra da licença.

Exemplos de Ransomware as a Service

O grupo de ransomware DarkSide esteve por trás do incidente de ransomware da Colonial Pipeline ocorrido em maio de 2021. O incidente forçou a empresa a fechar temporariamente um enorme oleoduto por vários dias, impactando consumidores e companhias aéreas na costa leste dos Estados Unidos.

Criar ou comprar seu próprio ransomware nunca foi tão fácil. Espera-se que o surgimento desses programas de ransomware "faça você mesmo", hospedados no GitHub e em fóruns de hackers, estimule ainda mais o crescimento desses ataques.

Confira alguns exemplos de variantes populares de Ransomware as a Service.

  • DarkSide

    O DarkSide é talvez a variante de ransomware mais perigosa enfrentada recentemente. Visto pela primeira vez em agosto de 2020, o DarkSide Ransomware as a Service se espalhou rapidamente por mais de 15 países, visando organizações de diversos setores, incluindo serviços financeiros, serviços jurídicos, manufatura, serviços profissionais, varejo e tecnologia.

  • LockBit

    O LockBit, anteriormente conhecido como ransomware ABCD, é um software malicioso projetado para bloquear o acesso dos usuários a seus computadores. O LockBit é altamente avançado e verifica automaticamente alvos valiosos, implantando o malware e criptografando todos os sistemas de computador possíveis.

    A gangue de ransomware LockBit lançou seu Ransomware as a Service em 2019. O grupo promoveu seu serviço na dark web, forneceu suporte em fóruns de hackers em russo e recrutou aspirantes a cibercriminosos para invadir e criptografar redes.

  • REvil

    O REvil, também conhecido como Sodinokibi, é outra variante do Ransomware as a Service responsável por extorquir grandes quantias de dinheiro de organizações em todo o mundo. O Sodinokibi se espalha de várias maneiras, inclusive por meio de VPNs não corrigidas, kits de exploração, protocolos de área de trabalho remota (RDPs) e spam.

    O REvil, ou Ransomware Evil, também é conhecido por dupla extorsão. O grupo ameaçaria suas vítimas de publicar as informações roubadas em público se o resgate não fosse pago. Acredita-se que a gangue REvil tenha sido fechada pelas autoridades russas a pedido de agências do governo dos EUA.

  • WannaCry

    O ransomware WannaCry abalou o mundo em 2017 ao direcionar computadores com Windows, criptografar arquivos e impedir que os usuários acessassem seus computadores até que o pagamento do resgate fosse feito. O grupo norte-coreano Lazarus estava por trás do ataque ransomware WannaCry.

  • Ryuk

    Ryuk é uma variante popular usada em ataques direcionados contra organizações de saúde (como o ataque contra o Universal Health Services, no final de 2020). O Ryuk é comumente disseminado por meio de outro malware (por exemplo, Trickbot) ou por meio de ataques de phishing por e-mail e kits de exploração.

Como prevenir ataques de Ransomware como Serviço

O grande problema dos ataques de ransomware é que um simples ataque pode paralisar as operações de uma empresa inteira, causando grandes prejuízos.

Além disso, não há garantia de que os dados e sistemas serão liberados após o pagamento do valor exigido. Esse é um dos motivos que reforçam a recomendação: não pague a taxa de resgate.

Mas é muito melhor evitar um ataque de ransomware do que ter que lidar com suas consequências. Para evitar que você se torne uma dessas estatísticas, aqui estão 4 dicas essenciais para evitar ataques de Ransomware as a Service - RaaS.

  • 1. Faça backup dos dados de forma consistente

    Dados confidenciais e privados geralmente são o alvo principal de um ataque RaaS. Os hackers comprometem seus sistemas ou dados e ameaçam roubá-los ou divulgá-los se o resgate não for pago.

    Ao fazer backup dos dados, os invasores de RaaS não terão a mesma vantagem que teriam se tivessem controle exclusivo. Portanto, não confie apenas no armazenamento em nuvem; faça backup de seus dados em discos rígidos externos como medida preventiva contra RaaS.

  • 2. Mantenha o software atualizado

    Outra maneira eficiente de prevenir ataques de RaaS é manter o software do sistema atualizado. Isso inclui suas medidas antivírus. Sistemas que usam versões mais antigas são uma fraqueza óbvia que os cibercriminosos desejam explorar.

    As atualizações de software também aumentam a segurança da rede, corrigindo vulnerabilidades e garantindo correções de bugs. Além disso, mantenha um programa rigoroso de atualizações para proteção contra vulnerabilidades conhecidas e possíveis novas tecnologias de Ransomware as a Service.

  • 3. Treinamento contínuo de funcionários

    Os invasores de RaaS geralmente enganam as vítimas com e-mails de phishing que contêm links e anexos maliciosos. Se a mensagem for de um remetente desconhecido ou suspeito, os funcionários já devem saber como evitá-la imediatamente.

    Treine os usuários sobre como identificar, isolar e relatar mensagens maliciosas para evitar danos desnecessários. Realize treinamentos regulares e atualizados sobre táticas comuns de RaaS, como phishing e engenharia social.

  • 4. Detecção e proteção proativas

    Além de manter seu software de segurança cibernética atualizado, você desejará utilizar tecnologia focada na proteção de terminais e detecção de ameaças. Deseja que suas defesas funcionem continuamente, 24 horas por dia, 7 dias por semana, para proteger contra Ransomware as a Service o tempo todo.

    Existem muitos programas a serem considerados que implementam uma variedade de ferramentas inteligentes para detectar e remover ameaças de ransomware.

A triste realidade é que o RaaS parece ter vindo para ficar por enquanto. Para se proteger contra ataques de Ransomware como serviço, você precisará de uma tecnologia holística e uma estratégia de segurança cibernética para minimizar as chances de um ataque de RaaS bem-sucedido.

Você também deve considerar fortemente contratar um parceiro experiente em prevenção de ransomware, como a Claranet, para manter suas defesas em tempo integral e evitar o pagamento de grandes quantias de Bitcoin para recuperar seus dados e sistemas críticos.