O que é o ransomware como serviço (RaaS)?

Os acordos de ransomware como serviço são populares entre os cibercriminosos. O ransomware continua sendo uma ameaça cibernética comum, envolvido em 20% de todos os incidentes de cibercrime, de acordo com o IBM X-Force Threat Intelligence Index. Muitas das cepas de ransomware mais infames e devastadoras, como LockBit e BlackBasta, se espalham por meio das vendas de RaaS.

É fácil entender a proliferação do modelo RaaS. Ao terceirizar alguns de seus esforços para provedores de RaaS, os hackers em potencial têm uma entrada mais rápida e fácil no cibercrime. Até mesmo agentes de ameaças com conhecimento técnico limitado agora podem iniciar ataques cibernéticos.

O RaaS é mutuamente benéfico. Os hackers podem lucrar com a extorsão sem desenvolver seu próprio malware. Ao mesmo tempo, os desenvolvedores de ransomware podem aumentar seus lucros sem o esforço de atacar redes e podem lucrar com vítimas que, de outra forma, não teriam localizado.

O RaaS funciona da mesma forma que os modelos de negócios legítimos de software como serviço (SaaS) . Os desenvolvedores de ransomware, também chamados de operadores ou grupos de RaaS, assumem o trabalho de desenvolvimento e manutenção de ferramentas e infraestrutura de ransomware. Eles empacotam suas ferramentas e serviços em kits de RaaS, que vendem para outros hackers, conhecidos como afiliados de RaaS.

A maioria dos operadores de RaaS usa um dos seguintes modelos de receita para vender seus kits:

• Assinatura mensal
• Taxa única
• Programas de afiliados
• Participação nos lucros

Afiliados de RaaS pagam uma taxa recorrente, às vezes tão baixa quanto USD 40 por mês, para ter acesso às ferramentas de ransomware.

Afiliados pagam uma taxa única para adquirir o código do ransomware definitivamente.

Afiliados pagam uma taxa mensal e compartilham uma pequena porcentagem de qualquer pagamento de resgate que receberem com os operadores.

Os operadores não cobram nada antecipadamente, mas ficam com uma parte significativa de cada resgate recebido pelo afiliado, frequentemente entre 30% e 40%.

Kits de RaaS (ransomware como serviço) são anunciados em fóruns da dark web por todo o ecossistema clandestino‌, e alguns operadores de ransomware recrutam ativamente novos afiliados, investindo milhões de dólares em campanhas de recrutamento na dark web.

Depois de adquirirem um kit de RaaS, os afiliados recebem mais do que apenas malware e chaves de descriptografia. Elas geralmente recebem um nível de serviço e suporte equivalente aos dos fornecedores de SaaS legais. Alguns dos operadores de RaaS mais sofisticados oferecem comodidades como:

• Suporte técnico contínuo.
• Acesso a fóruns privados nos quais os hackers podem trocar dicas e informações.
• Portais de processamento de pagamentos — porque a maioria dos pagamentos de resgate é solicitada em criptomoedas não rastreáveis, como o Bitcoin.
• Ferramentas e suporte para escrever notas de resgate personalizadas ou negociar exigências de resgate.

Todos os ataques de ransomware podem ter consequências graves. De acordo com o relatório do custo das violações de dados da IBM, a violação média de ransomware custa à vítima USD 4,91 milhões. Mas os ataques de afiliados do RaaS representam desafios adicionais para os profissionais de cibersegurança, incluindo:

• Atribuição difusa de ataques de ransomware
• Especialização de cibercriminosos
• Ameaças de ransomware mais resilientes
• Novas táticas de pressão

No modelo RaaS, as pessoas que executam os ataques cibernéticos podem não ser as mesmas que desenvolveram o malware utilizado. Além disso, diferentes grupos de hackers podem usar o mesmo ransomware. Profissionais de cibersegurança podem não conseguir atribuir os ataques a um grupo específico, dificultando o rastreamento e a identificação de operadores e afiliados do RaaS.

Assim como na economia legítima, a economia do cibercrime levou a uma divisão do trabalho. Atores de ameaças agora podem se especializar e aperfeiçoar suas habilidades. Desenvolvedores podem focar na criação de malwares cada vez mais potentes, enquanto os afiliados se concentram em métodos de ataque mais eficazes.

Uma terceira categoria de cibercriminosos, denominados de “corretores de acesso”, se especializa em se infiltrar em redes e vender pontos de acesso a invasores. A especialização permite que os hackers sejam mais rápidos e efetuem mais ataques. De acordo com o X-Force Threat Intelligence Index, o tempo médio para preparar e iniciar um ataque de ransomware caiu de mais de 60 dias em 2019 para 3,84 dias atualmente.

O modelo RaaS permite que operadores e afiliados compartilhem os riscos, tornando ambos mais resilientes. Capturar um afiliado não derruba o operador, e os afiliados podem simplesmente migrar para outro kit de ransomware se o operador for pego. Já se viu casos em que hackers reorganizaram e rebatizaram suas atividades para escapar das autoridades.

Por exemplo, após o Escritório de Controle de Ativos Estrangeiros dos EUA (OFAC) sancionar o grupo de ransomware Evil Corp, as vítimas pararam de pagar os resgates para evitar punições do OFAC. Em resposta, a Evil Corp mudou o nome do seu ransomware para continuar recebendo pagamentos.

Os cibercriminosos que utilizam ataques RaaS descobriram que muitas vezes podem exigir pagamentos de resgate mais altos e rápidos se não criptografarem os dados da vítima. O passo adicional de restaurar os sistemas pode atrasar os pagamentos. Além disso, muitas organizações melhoraram suas estratégias de backup e recuperação, tornando a criptografia menos impactante para elas.

Em vez disso, os cibercriminosos atacam organizações com grandes armazenamentos de informação de identificação pessoal (PII) confidencial, como prestadores de serviços de saúde, e ameaçam vazar essas informações confidenciais. As vítimas, muitas vezes, pagam um resgate em vez de sofrerem o embaraço (e possíveis repercussões legais) de um vazamento.

Pode ser difícil definir quais quadrilhas são responsáveis por qual ransomware ou quais operadores iniciaram um ataque. Dito isso, os profissionais de cibersegurança identificaram alguns dos principais operadores de RaaS ao longo dos anos, incluindo:

• Tox
• LockBit
• DarkSide
• REvil/Sodinokibi
• Ryuk
• Hive
• Black Basta
• CL0P
• Eldorado

Identificado pela primeira vez em 2015, o Tox é considerado por muitos como o primeiro RaaS.

LockBit é uma das variantes de RaaS mais disseminadas, de acordo com o X-Force Threat Intelligence Index. LockBit costuma se espalhar por meio de e-mails de phishing. Notavelmente, o grupo por trás do LockBit tentou recrutar afiliados que trabalham nas próprias organizações-alvo, facilitando a infiltração.

A variante de ransomware da DarkSide foi usada no ataque de 2021 ao Pipeline Colonial dos EUA, considerado o pior ciberataque à infraestrutura crítica dos EUA até o momento. A DarkSide encerrou suas atividades em 2021, mas seus desenvolvedores lançaram um kit de RaaS sucessor chamado BlackMatter.

O REvil, também conhecido como Sodin ou Sodinokibi, produziu o ransomware por trás dos ataques de 2021 contra a JBS USA e a Kaseya Limited. Em seu auge, o REvil foi uma das variantes de ransomware mais difundidas. O Serviço Federal de Segurança da Rússia fechou o REvil e acusou vários membros importantes no início de 2022.

Antes de ser encerrada em 2021, Ryuk foi uma das maiores operações de RaaS. Os desenvolvedores por trás do Ryuk lançaram posteriormente o Conti, outra grande variante de RaaS, que foi utilizada em um ataque contra o governo da Costa Rica em 2022.

O Hive se destacou em 2022 após um ataque ao Microsoft Exchange Server. Os afiliados da Hive eram uma ameaça significativa para empresas financeiras e organizações de saúde até o FBI derrubar o operador.

Surgindo como uma ameaça em 2022, o Black Basta rapidamente fez mais de 100 vítimas na América do Norte, Europa e Ásia. Usando ataques direcionados, os hackers exigiam uma dupla extorsão: tanto para descriptografar os dados da vítima quanto com a ameaça de divulgar informações confidenciais ao público.

Em 2023, o grupo de ransomware CL0P explorou uma vulnerabilidade no MOVEit, aplicativo de transferência de arquivos, para expor informações sobre milhões de indivíduos.

O RaaS Eldorado foi anunciado no início de 2024 em um anúncio publicado em um fórum de ransomware. Em apenas três meses, 16 vítimas já haviam sido atacadas nos EUA e na Europa.¹

Embora o RaaS tenha mudado o cenário de ameaças, muitas das práticas padrão de proteção contra ransomware ainda podem ser eficazes para combater ataques de RaaS.

Muitos afiliados de RaaS têm menos habilidades técnicas do que os antigos operadores de ransomware. Implementar obstáculos suficientes entre os hackers e os ativos da rede pode dissuadir totalmente alguns ataques de RaaS. Algumas táticas de cibersegurança que podem ser úteis:

• Planos de resposta a incidentes abrangentes
• Ferramentas de detecção baseadas em anomalias
• Redução da superfície de ataque da rede
• Treinamento em Cibersegurança
• Implementação de controles de acesso
• Manutenção de backups
• Trabalho em conjunto com autoridades policiais

O planejamento de resposta a incidentes pode ser particularmente útil para ataques de RaaS. Como a atribuição do ataque pode ser difícil de determinar, as equipes de resposta a incidentes não podem contar com ataques de ransomware sempre usando as mesmas táticas, técnicas e procedimentos (TTPs).

Além disso, quando os responsáveis pela resposta a incidentes expulsam os afiliados de RaaS, corretores de acesso (access brokers) ainda podem estar ativos nas redes. A caça a ameaças e investigações detalhadas de incidentes podem ajudar as equipes de segurança a erradicar essas ameaças evasivas.

Para identificar ataques de ransomware em andamento, as organizações podem usar ferramentas de detecção baseadas em anomalias, como algumas soluções de detecção e resposta de endpoint (EDR) e detecção e resposta em rede (NDR). Essas ferramentas utilizam automação inteligente, inteligência artificial (IA) e aprendizado de máquina (ML) para detectar ameaças novas e avançadas quase em tempo real e oferecer maior proteção aos endpoints.

Um ataque de ransomware pode ser detectado nos estágios iniciais com um processo incomum de exclusão ou criptografia de backup que começa repentinamente sem aviso prévio. Mesmo antes de um ataque, eventos anômalos podem ser os “sinais de alerta” de um hack iminente que a equipe de segurança pode evitar.

As organizações podem ajudar a reduzir suas superfícies de ataque de rede realizando avaliações frequentes de vulnerabilidades e aplicando correções regularmente para fechar vulnerabilidades comumente exploradas.

Ferramentas de segurança, como software antivírus, orquestração, automação e resposta de segurança (SOAR),  gerenciamento de eventos e informações de segurança (SIEM) e detecção e resposta estendidas (XDR) também podem ajudar as equipes de segurança a interceptar ransomware mais rapidamente.

Mostre aos funcionários como reconhecer e evitar os vetores de ransomware mais comuns, incluindo phishing, engenharia social e links maliciosos.

Autenticação multifator, arquitetura de zero trust e segmentação de rede podem ajudar a impedir que o ransomware acesse dados sensíveis.

As organizações podem fazer backups regulares de dados sensíveis e imagens de sistema, de preferência em discos rígidos ou outros dispositivos que possam ser desconectados da rede.

Às vezes, as organizações conseguem economizar no custo e no tempo de contenção com a ajuda de autoridades policiais.

As vítimas de ransomware que envolveram autoridades policiais reduziram o custo de suas violações em uma média de quase USD 1 milhão, excluindo o custo de qualquer resgate pago, de acordo com o relatório do custo das violações de dados da IBM. O envolvimento de autoridades policiais também ajudou a reduzir o tempo necessário para identificar e conter as violações, de 297 dias para 281 dias.