Cyber sigurnost Najave II

Poslovni model budućnosti u cyber ilegali?!

Ransomware je i u 2023. bacao prijeteću sjenu u svijetu cyber sigurnosti, ugrožavajući organizacije svih veličina i matičnih sektora. Međutim, okruženje u kojem se prijetnje softverom za iznudu danas realiziraju značajno je izmijenjeno pojavom Ransomware-as-a-Service (RaaS) ekosistema koji funkcioniraju kao nezakonita, ali lukrativna varijacija na popularne as-a-service poslovne modele

Piše: Mirza Bahić ; E-mail: mirza.bahic@asadria.com

Poslovni svijet ima svoje zakonitosti i one su u njegovom sjenovitom segmentu jednako primjenjive kao i u onom legalnom. Ako je broj incidenata povezanih s ransomwareom rastao za 20%, odnosno 62% u intervalima 2019–2020. i 2020–2021, i laicima je bilo jasno da cijela stvar „radi“ i da broj aktera zbog toga stabilno raste. S druge strane jednadžbe, paralelno je rastao i prosječni iznos otkupnine i to za preko 200% u istom intervalu, što je pokazalo da ovi napadi danas privlače ne samo više aktera – nego i nude atraktivnu zaradu u formi kolača čiji je rast teško ignorisati.

Šta se dešavalo paralelno s ovim trendom? Puno toga, rekli bi mnogi, ali će se u mnoštvu događaja rijetko ko sjetiti renesanse poslovnog modela as-a-service (kao usluga) u kojem se nešto što zanima kupca (softver, infrastruktura, videonadzor) prezentira u formi usluge koja se pruža s centralne lokacije, obično na pretplatnoj osnovi. Zato je bilo samo pitanje vremena kada će ovaj ekosistem zaživjeti i u mračnijim kucima interneta gdje se poslovima iznude sada žele baviti i laici koji tu uslugu pribavljaju od cyber kriminalaca.

Uspon RaaS ekosistema

Riječ „laik“ ovdje je ključna za razumijevanje ove pojave jer je u donedavnoj prošlosti pokretanje ransomware napada zahtijevalo naprednu tehničku ekspertizu. Nosioci ovih aktivnosti bili su profesionalni hakeri koji su brusili svoje vještine u svijetu nedostupnom osobi koju danas zovemo „korisnik“ RaaS-a. Tu se, pak, javila potreba za „demokratizacijom“ svijeta cyber kriminala gdje su se neke mudre glave dosjetile da prepišu model pretplate na napade i ponude ga pojedincima s minimalnim tehničkim znanjem, ali s ogromnom željom da izvode nekada složene i skupe napade ransomwareom. Ubrzo je došlo do razvoja pravog RaaS ekosistema u okviru kojeg se napadi ransomwareom nude kao usluge korisnicima. Izolirane grupice hakera zamijenili su pravi biznisi s preko 100 „zaposlenih“, uključujući programere, menadžere, pregovarače i pomoćno osoblje.

Ransomware napad „za ponijeti“

Na vrhu piramide su administratori, koji kupcu daju pristup zlonamjernom softveru i infrastrukturi za njegovu pohranu i implementaciju. Oni pružaju i podršku tokom svih faza pregovora sa žrtvama ransomware napada. Kupcima su, pri tom, dostupni različiti paketi usluga, uključujući namjensku web lokaciju na kojoj će se prezentirati informacije ukradene od žrtve i online portal preko kojeg se „upravlja“ žrtvama ransomware napada i dorađuje korišteni softver. Ni komunikacijska komponenta nije zapostavljena, tako da se kupcu ustupa stranica za stupanje u vezu sa žrtvama, uključujući i slanje direktnih poruka. Pri tom, sami administratori obično nisu uključeni u samo izvođenje napada, nego rade na „procenat“ dobijene otkupnine.

I reputacija ovdje igra važnu ulogu, jer će etablirane hakerske grupe same dobijati ponude od kupaca za svoje usluge i jačati svoj profil unutar RaaS ekosistema. Za manje poznate hakerske grupe tu su prodavci i preprodavci koji upravljaju cijelim procesom preko foruma i djeluju kao posrednici između kupaca i izvođača radova.

Brokeri, partneri i žrtve u RaaS ekonomiji

U RaaS svijetu ključne su još dvije uloge za funkcioniranje sistema pružanja usluga. To su brokeri i partneri. Partneri su osobe koje koriste ransomware napade za dobijanje pristupa mreži ciljane organizacije. Za izvođenje napada oni će, jednostavno, plasirati ransomware koji je kupljen ili iznajmljen preko brokera na RaaS forumima. Opcije za plaćanje su fleksibilne i obuhvataju isplatu naknade ponuđaču RaaS usluga ili podjelu zarade od isplaćene otkupnine. Ako napad bude uspješan, partner će ukradene informacije postaviti na portal i što prije uspostaviti komunikaciju sa žrtvom kako bi se povećala vjerovatnoća da će otkupnina biti plaćena prije nego što nadležni organi budu upozoreni na napad.

Uloga brokera u modelu RaaS jednako je važna, jer ove osobe pomažu napadaču da uđe u infrastrukturu ciljane organizacije kroz identifikaciju njenih ranjivih tačaka. Brokeri su finansijski motivirani i zarađuju prodajom obavještajnih podataka i softvera i alata za daljinski pristup, koji pomažu hakerima da pristupe korporativnim mrežama i što bolje iskoriste njene ranjivosti.

Na dnu ove detaljno razrađene piramide su žrtve napada koje čine osovinu cijelog poslovnog modela. Ovi subjekti silaze u podzemni svijeta RaaS-a u nadi da će povratiti kompromitirane podatke i mrežne resurse za otkupninu, računajući na „poštenje“ napadača. Iako postoje slučajevi u kojima su hakeri primili uplatu bez vraćanja pristupa kompromitiranom resursu, vjerovatnoća za ovaj scenarij je nešto manja, a razlozi su prvenstveno marketinškog karaktera. Jednostavno, u svijetu RaaS-a, reputacija je sve i uzimanje otkupnine bez davanja nečega zauzvrat značilo bi bespotrebno otežavanje saradnje sa žrtvama budućih napada.

RaaS model je snizio barijeru za ulazak u svijet cyber kriminala, omogućavajući čak i pojedincima s ograničenim iskustvom u kodiranju da izvode ransomware napade

Pojeftinjenje i pojednostavljenje napada

RaaS model ušao je u arenu kibernetičkog kriminala prije samo nekoliko godina, ali njegovi efekti se već snažno osjećaju u svakom kutku svijeta. Već u 2020. izvještaji su pokazivali da gotovo dvije trećine analiziranih ransomware napada uključuju organizacije koje koriste RaaS modele. U 2023. broj žrtava RaaS napada u prvoj polovici godine porastao je za 45% u odnosu na isti period 2022, dok je broj RaaS grupa skočio za 11%. Razlozi za ove trendove su mnogostruki. Kao prvo, RaaS model je drastično spustio barijeru za ulazak u svijet cyber kriminala, omogućavajući čak i pojedincima s ograničenim iskustvom u kodiranju da izvode napade. Tu je i pad cijena resursa potrebnih za izvođenje napada jer neke podružnice plaćaju samo 40 dolara mjesečno za pristup ransomware alatima.

Osim toga, uspon kriptovaluta omogućio je da ova platežna sredstva postanu primarni metod za plaćanje otkupnine. Brzina i tajnovita priroda transakcija anonimnim valutama učinila ih je idealnim medijem za aktere u svijetu RaaS-a. Napori u borbi protiv RaaS grupa su sve veći, ali je jednako velika i finansijska motivacija za sve koji na mala vrata žele ući u ranije nedostupan svijet cyber kriminala. Kako se okruženje RaaS prijetnji razvija, od suštinskog je značaja za organizacije da ostanu svjesne ove prijetnje i prilagode joj se u vidu implementacije robusnih mjera cyber zaštite za svoju digitalnu imovinu i mrežne resurse.

Related Posts

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *