O cenário de ransomwares é mais movimentado do que você pensa
Mais de 25 portais Ransomware-as-a-Service (RaaS) estão alugando ransomware para outros grupos criminosos.
Ransomware-as-a-Service é um termo de segurança cibernética que se refere a gangues criminosas que alugam ransomware para outros grupos, seja por meio de um portal dedicado ou por meio de threads em fóruns de hackers.
Os portais RaaS funcionam fornecendo um código de ransomware pré-fabricado para outras gangues. Essas gangues, geralmente chamadas de clientes ou afiliados RaaS, alugam o código do ransomware, personalizam-no usando as opções fornecidas pelo RaaS e, em seguida, implantam ataques no mundo real por meio de um método de sua escolha.
Esses métodos variam entre os afiliados RaaS e podem incluir ataques de spear-phishing de e-mail, campanhas de spam indiscriminado em massa por e-mail, o uso de credenciais RDP comprometidas para obter acesso a redes corporativas ou o uso de vulnerabilidades em dispositivos de rede para obter acesso à empresa interna redes.
Os pagamentos desses incidentes, independentemente de como os afiliados conseguiram infectar uma vítima, vão para a gangue RaaS, que fica com uma pequena porcentagem e repassa o restante para o afiliado.
As ofertas de RaaS existem desde 2017 e foram amplamente adotadas, pois permitem que gangues criminosas não técnicas espalhem ransomware sem a necessidade de saber como codificar e lidar com conceitos avançados de criptografia.
As camadas RaaS
De acordo com um relatório publicado hoje pela Intel 471 , existem atualmente cerca de 25 ofertas de RaaS sendo anunciadas na cena de hacking underground.
Embora existam gangues de ransomware que operam sem alugar seu “produto” para outros grupos, o número de portais RaaS disponíveis hoje excede em muito o que muitos especialistas em segurança pensavam que poderia estar disponível e mostra a infinidade de opções que as gangues criminosas têm à sua disposição, se algum dia optam por mergulhar os pés no jogo ransomware.
Mas nem todas as ofertas RaaS fornecem os mesmos recursos. A Intel 471 afirma que tem rastreado esses serviços em três níveis diferentes, dependendo da sofisticação, dos recursos e da história comprovada do RaaS.
A Camada 1 é para as operações de ransomware mais conhecidas da atualidade. Para serem classificadas como RaaS de nível 1, essas operações precisavam durar meses, comprovar a viabilidade de seu código por meio de um grande número de ataques e continuar operando apesar da exposição pública.
Essa camada inclui REvil, Netwalker, DopplePaymer, Egregor (Maze) e Ryuk.
Com exceção de Ryuk, todos os operadores de Nível 1 também administram ” sites de vazamento ” dedicados, onde denunciam e envergonham as vítimas como parte de seu cartel de extorsão bem lubrificado.
Essas gangues também usam uma ampla variedade de vetores de intrusão, cada um dependendo do tipo de afiliados que recrutam. Eles podem violar redes explorando bugs em dispositivos de rede (recrutando especialistas em rede), podem descartar sua carga útil de ransomware em sistemas já infectados por outro malware (trabalhando com outros cartéis de malware) ou podem obter acesso às redes da empresa por meio de conexões RDP (trabalhando com operadores ou vendedores de botnet de força bruta ou credenciais RDP comprometidas).
O Nível 2 é para portais RaaS que ganharam uma reputação no submundo do hacking, fornecem acesso a variedades avançadas de ransomware, mas ainda não alcançaram o mesmo número de afiliados e ataques que os operadores do Nível 1.
Esta lista inclui nomes como Avaddon, Conti, Clop, DarkSide, Mespinoza (Pysa), RagnarLocker, Ranzy (Ako), SunCrypt e Thanos – e estes são efetivamente os promissores do mundo do ransomware.
O Nível 3 é para portais RaaS recém-lançados ou para ofertas RaaS sobre as quais não há informações disponíveis limitadas. Em alguns casos, não está claro se algum deles ainda está funcionando ou se seus autores desistiram depois de tentar e não conseguir tirar seus portais do chão.
Esta lista atualmente inclui CVartek.u45, Exorcista, Gothmog, Lolkek, Muchlove, Nemty, Rush, Wally, Xinof, Zeoticus e (chegada tardia) ZagreuS .
Em suma, embora o ecossistema do cibercrime clandestino gere lucros por meio de atividades criminosas, ele ainda é um mercado e, como todos os mercados, é regido pelos mesmos princípios que norteiam qualquer outro mercado hoje.
Um grande número de provedores de serviços é o sinal revelador de uma economia em expansão que está longe de estar saturada. A saturação do mercado RaaS só acontecerá quando os criminosos criarem mais portais RaaS do que os grupos afiliados estão dispostos a assinar ou quando as empresas reforçarem suas medidas de segurança, tornando a intrusão mais difícil de realizar, secando os lucros dos criminosos.
