Usługi subskrypcyjne zyskują wielu zwolenników, co pokazuje chociażby przykład platform streamingowych. Niestety, z tego modelu bardzo chętnie korzystają również cyberprzestępcy.
Dostawcy systemów bezpieczeństwa IT toczą nieustanną i nierówną walkę z siłami zła.
O ile pierwsi muszą postępować zgodnie z regułami, czyli płacić podatki, przestrzegać regulacji, o tyle gangi cyberprzestępcze działają bez jakichkolwiek ograniczeń. Co więcej, napastnicy bardzo chętnie czerpią najlepsze wzorce od firm prowadzących legalne biznesy – zlecają zadania na zewnątrz, nagradzają prowizjami najlepszych partnerów, stosują nowoczesne modele biznesowe. Klasyczny przykład stanowi tutaj usługa Ransomware as a service (RaaS), która w znacznym stopniu przyczyniła się do rozpowszechniania tych groźnych ataków. Cyberprzestępcy stosują dość przewrotne podejście do Software-as-a-Service (SaaS), bowiem nie dostarczają pakietów biurowych, systemów CRM, czy aplikacji do komunikacji, lecz kod złośliwego oprogramowania.
Wsparcie dla cyberprzestępców
W praktyce wygląda to w ten sposób, że haker loguje się do portalu, gdzie tworzy własne konto, wprowadza szczegóły dotyczące rodzaju złośliwej aplikacji, jaką zamierza stworzyć i płaci za usługę w bitcoinach. Ceny zestawów są bardzo zróżnicowane i zaczynają się już od 40 USD dolarów miesięcznie. Natomiast za najbardziej zaawansowane rozwiązania trzeba zapłacić nawet kilka tysięcy dolarów. Ale to tylko jedna część opłaty, druga to prowizja pobierana przez operatora (zazwyczaj od 20 – 30 procent) od okupu zapłaconego przez ofiarę ataku.
Subskrybenci mogą liczyć na wsparcie dostawcy, wymieniać się informacjami na forach, a także korzystać z aktualizacji. Natomiast oferujący najbardziej zaawansowane usługi operatorzy posiadają własne portale, na których partnerzy mogą obserwować status infekcji, statystki dotyczące płatności, czy liczby zaszyfrowanych plików.
– RaaS otwiera ogromne możliwości przed napastnikami. Model ten obniża barierę wejścia dla początkujących hakerów. Nie trzeba mieć dużych umiejętności, aby zainicjować atak i zakończyć go sukcesem. Poza tym nakład włożony w zakup narzędzi jest niewielki w porównaniu z potencjalnymi zyskami czekającymi na napastników – tłumaczy Michał Łabęcki z G DATA Software.
Szacuje się, że w Polsce średnia wysokość okupu żądanego przez napastników wynosi niespełna 700 tysięcy złotych. Gangi ransomware działają według podobnego modelu biznesowego, jak dostawcy systemów bezpieczeństwa IT. Jednak zasadnicza różnica polega na tym, że nawet aspirujący hakerzy mogą w stosunkowo krótkim czasie zarobić nieporównywalnie więcej niż doświadczeni resellerzy, bądź integratorzy wdrażający systemy bezpieczeństwa IT. Dlatego RaaS cieszy się w środowisku cyberprzestępczym nieustającą popularnością
– Jednym z największych problemów występujących na rynku cyberbezpieczeństwa jest bezkarność napastników. Wprawdzie czasami zdarzają się przypadki rozbicia groźnych gangów, takich jak na przykład Lockbit, jednak jego założyciel, 31-letni Dmitrij Jurijewicz Choroszew z Rosji, gra organom ścigania na nosie, siedząc sobie bezpiecznie w Rosji. – przyznaje Michał Łabęcki.
W bieżącym roku Departament Sprawiedliwości USA przedstawił Choroszewowi akt oskarżenia, zawierający 26 zarzutów i grozi mu do 185 lat więzienia oraz kary finansowe – 250 000 dolarów za każde przestępstwo. Jak na razie jedyną karą dla Rosjanina pozostaje to, że nie może odwiedzać Wielkiej Brytanii, Stanów Zjednoczonych oraz Australii.
Demokratyzacja cyberbezpieczeństwa
Jakby na to nie patrzeć, RaaS prowadzi do demokratyzacji cyberprzestępczości. Osoby o dość skromnej wiedzy na temat włamań do sieci, czy tworzenia złośliwego oprogramowania, dzięki temu modelowi mogą przeprowadzać wyrafinowane ataki. Tym samym liczba napastników cały czas rośnie. Partnerzy czerpią zyski przy stosunkowo niewielkim nakładzie pracy, zaś operatorzy zwiększają zasięg swojego działania, i to bez bezpośredniego angażowania się w ataki. Ta swoista symbioza przyczynia się do zwiększenia rentowności cyberprzestępczości. Poza tym operatorzy RaaS zmieniają charakter ataków. W ostatnim czasie nasiliły się incydenty, których ofiarą padają firmy, bądź instytucje posiadające znaczne ilości wrażliwych danych. W takich sytuacjach cyberprzestępcy nie szyfrują plików, co zazwyczaj opóźnia pobranie okupu, lecz grożą upublicznieniem informacji. Taka taktyka wielokrotnie wymusza na instytucjach, w tym między innymi placówkach zdrowia, szybkie zapłacenie haraczu, aby uniknąć kompromitacji i konsekwencji prawnych.
Jak się chronić przed RaaS?
Walka z operatorami RaaS powinna polegać przede wszystkim na prowadzeniu działań wyprzedzających. Jedną z podstawowych kwestii są szkolenia pracowników w zakresie cyberbezpieczeństwa. W czasie takich kursów szczególnie duży nacisk należy położyć na rozpoznawanie podejrzanych wiadomość e-mail oraz linków. Poza tym dział IT musi na bieżąco aktualizować oprogramowanie, co pozwala likwidować luki bardzo chętnie wykorzystywane przez gangi ransomware. Nie mniej istotne jest tworzenie i testowanie kopii zapasowych, dzięki czemu łatwo można odzyskać dane bez płacenia okupu. Co ważne, kopie należy przechowywać w trybie offline lub w oddzielnej sieci, aby uniemożliwić dostęp do nich napastnikom. Firmy powinny również powszechnie korzystać z rozwiązań do ochrony urządzeń końcowych, takich jak na przykład oprogramowanie antywirusowe z funkcją antyransomware, która chroni przed próbami zaszyfrowania przez przestępców zdjęć, dokumentów czy danych osobowych.
———————–
www.GDATA.pl