Minha IBM Efetue login Inscreva-se

Início

topics

Ransomware como serviço

 O que é o ransomware como serviço (RaaS)?

O que é o ransomware como serviço (RaaS)?
Explore a solução de RaaS da IBM Inscreva-se para receber o boletim informativo Think
Ilustração mostrando colagem de pictogramas de nuvem, impressão digital e telefone celular

Atualizado em: 5 de setembro de 2024
Colaboradores: Jim Holdsworth, Matthew Kosinski
O que é o ransomware como serviço (RaaS)?

O que é o ransomware como serviço (RaaS)?

Ransomware como serviço (RaaS) é um modelo de negócios do cibercrime em que desenvolvedores de ransomware vendem código de ransomware ou malware para outros hackers, chamados de “afiliados”, que, então, os utilizam para iniciar seus próprios ataques de ransomware.

Os acordos de ransomware como serviço são populares entre os cibercriminosos. O ransomware continua sendo uma ameaça cibernética comum, envolvido em 20% de todos os incidentes de cibercrime, de acordo com o IBM X-Force Threat Intelligence Index. Muitas das cepas de ransomware mais infames e devastadoras, como LockBit e BlackBasta, se espalham por meio das vendas de RaaS.

É fácil entender a proliferação do modelo RaaS. Ao terceirizar alguns de seus esforços para provedores de RaaS, os hackers em potencial têm uma entrada mais rápida e fácil no cibercrime. Até mesmo agentes de ameaças com conhecimento técnico limitado agora podem iniciar ataques cibernéticos.

O RaaS é mutuamente benéfico. Os hackers podem lucrar com a extorsão sem desenvolver seu próprio malware. Ao mesmo tempo, os desenvolvedores de ransomware podem aumentar seus lucros sem o esforço de atacar redes e podem lucrar com vítimas que, de outra forma, não teriam localizado.
Agende seu briefing de descoberta individual do X-Force

A equipe de hackers, socorristas, pesquisadores e analistas de inteligência do X-Force pode ajudar você a se preparar e se recuperar de incidentes cibernéticos.

Conteúdo relacionado Guia definitivo do ransomware Cadastre-se no X-Force Threat Intelligence Index
Como funciona o ransomware como serviço?

Como funciona o ransomware como serviço?

O RaaS funciona da mesma forma que os modelos de negócios legítimos de software como serviço (SaaS) . Os desenvolvedores de ransomware, também chamados de operadores ou grupos de RaaS, assumem o trabalho de desenvolvimento e manutenção de ferramentas e infraestrutura de ransomware. Eles empacotam suas ferramentas e serviços em kits de RaaS, que vendem para outros hackers, conhecidos como afiliados de RaaS.

A maioria dos operadores de RaaS usa um dos seguintes modelos de receita para vender seus kits:

  • Assinatura mensal
  • Taxa única
  • Programas de afiliados
  • Participação nos lucros

Assinatura mensal


Os afiliados do RaaS pagam uma taxa recorrente, às vezes de apenas US$ 40 por mês, para ter acesso às ferramentas de ransomware.

Taxa única


Os afiliados pagam uma taxa única para comprar o código do ransomware imediatamente.

Programas de afiliados


Os afiliados pagam uma taxa mensal e compartilham uma pequena porcentagem de qualquer pagamento de resgate que recebem com os operadores.

Participação nos lucros


Os operadores não cobram nada adiantado, mas recebem uma parte significativa de cada resgate que o afiliado recebe, muitas vezes de 30% a 40%.

 Os kits de RaaS são anunciados em fóruns da dark web em todo o ecossistema clandestino‌, e alguns operadores de ransomware recrutam ativamente novos afiliados, investindo milhões de US$ em campanhas de recrutamento na dark web.

Depois de adquirirem um kit de RaaS, os afiliados recebem mais do que apenas malware e chaves de descriptografia. Elas geralmente recebem um nível de serviço e suporte equivalente aos dos fornecedores de SaaS legais. Alguns dos operadores de RaaS mais sofisticados oferecem comodidades como:

  • Suporte técnico contínuo.
  • Acesso a fóruns privados nos quais os hackers podem trocar dicas e informações.
  • Portais de processamento de pagamentos — porque a maioria dos pagamentos de resgate é solicitada em criptomoedas não rastreáveis, como o Bitcoin.
  • Ferramentas e suporte para escrever notas de resgate personalizadas ou negociar exigências de resgate.
Desafios dos ataques RaaS para a cibersegurança

Desafios dos ataques RaaS para a cibersegurança

Todos os ataques de ransomware podem ter consequências graves. De acordo com o relatório do custo das violações de dados da IBM, a violação média de ransomware custa à vítima US$ 4,91 milhões. Mas os ataques de afiliados do RaaS representam desafios adicionais para os profissionais de cibersegurança, incluindo:

  • Atribuição difusa de ataques de ransomware
  • Especialização de cibercriminosos
  • Ameaças de ransomware mais resilientes
  • Novas táticas de pressão

Atribuição difusa de ataques de ransomware


Sob o modelo RaaS, as pessoas que realizam ataques cibernéticos podem não ser as mesmas pessoas que desenvolveram o malware em uso. Além disso, diferentes grupos de hackers podem estar usando o mesmo ransomware. Os profissionais de cibersegurança podem não conseguir atribuir ataques de forma definitiva a nenhum grupo(s) específico(s), dificultando a criação de perfis e a captura de operadores e afiliados de RaaS. 

Especialização de cibercriminosos


Semelhante à economia legítima, a economia do cibercrime levou a uma divisão do trabalho. Os autores das ameaças agora podem se especializar e refinar suas habilidades. Os desenvolvedores podem se concentrar na criação de malware cada vez mais poderoso, e os afiliados podem se concentrar no desenvolvimento de métodos de ataque mais eficazes.

Uma terceira categoria de cibercriminosos, denominados de “corretores de acesso”, se especializa em se infiltrar em redes e vender pontos de acesso a invasores. A especialização permite que os hackers sejam mais rápidos e efetuem mais ataques. De acordo com o X-Force Threat Intelligence Index, o tempo médio para preparar e iniciar um ataque de ransomware caiu de mais de 60 dias em 2019 para 3,84 dias atualmente.

Ameaças de ransomware mais resilientes


O RaaS permite que os operadores e os afiliados compartilhem o risco, tornando cada um mais resiliente. A captura de afiliados não faz os operadores fecharem as portas, e os afiliados podem mudar para outro kit de ransomware se um operador for pego. Sabe-se também que os hackers reorganizam e reformulam suas atividades para fugir das autoridades.

Por exemplo, após o US Office of Foreign Assets Control (OFAC) impor sanções à quadrilha de ransomware Evil Corp, as vítimas pararam de pagar resgates para evitar penalidades do OFAC. Em resposta, a Evil Corp mudou o nome (link externo a ibm.com) de seu ransomware para manter o recebimento dos pagamentos.

Novas táticas de pressão


Os cibercriminosos que usam ataques de RaaS descobriram que muitas vezes podem exigir pagamentos de resgate mais altos e mais rápidos se não criptografarem os dados da vítima. A etapa extra de restauração de sistemas pode atrasar os pagamentos. Além disso, mais organizações melhoraram suas estratégias de backup e recuperação, tornando a criptografia menos prejudicial a elas.

Em vez disso, os cibercriminosos atacam organizações com grandes armazenamentos de informação de identificação pessoal (PII) confidencial, como prestadores de serviços de saúde, e ameaçam vazar essas informações confidenciais. As vítimas, muitas vezes, pagam um resgate em vez de sofrerem o embaraço (e possíveis repercussões legais) de um vazamento.
Variantes notáveis de ransomware como serviço

Variantes notáveis de ransomware como serviço

Pode ser difícil definir quais quadrilhas são responsáveis por qual ransomware ou quais operadores iniciaram um ataque. Dito isso, os profissionais de cibersegurança identificaram alguns dos principais operadores de RaaS ao longo dos anos, incluindo:

  • Tox
  • LockBit
  • DarkSide
  • REvil/Sodinokibi
  • Ryuk
  • Hive
  • Black Basta
  • CL0P
  • Eldorado

Tox

 

Identificado pela primeira vez em 2015, o Tox é considerado por muitos como o primeiro RaaS.

LockBit

 

O LockBit é uma das variantes de RaaS mais difundidas, de acordo com o X-Force Threat Intelligence Index. O LockBit frequentemente se espalha por meio de e-mails de  phishing. Notavelmente, a quadrilha por trás do LockBit tentou recrutar afiliados empregados por suas vítimas visadas, facilitando a infiltração.

DarkSide

 

A variante de ransomware da DarkSide foi usada no ataque de 2021 ao Pipeline Colonial dos EUA, considerado o pior ciberataque à infraestrutura crítica dos EUA até o momento. A DarkSide encerrou suas atividades em 2021, mas seus desenvolvedores lançaram um kit de RaaS sucessor chamado BlackMatter.

REvil/Sodinokibi

 

O REvil, também conhecido como Sodin ou Sodinokibi, produziu o ransomware por trás dos ataques de 2021 contra a JBS USA e a Kaseya Limited. Em seu auge, o REvil foi uma das variantes de ransomware mais difundidas. O Serviço Federal de Segurança da Rússia fechou o REvil e acusou vários membros importantes no início de 2022.

Ryuk

 

Antes de ser encerrado em 2021, o Ryuk era uma das maiores operações de RaaS. Os desenvolvedores por trás do Ryuk lançaram o Conti, outra variante importante do RaaS, que foi usada em um ataque contra o governo da Costa Rica. em 2022.

Hive

 

O Hive se destacou em 2022 após um ataque ao Microsoft Exchange Server. Os afiliados da Hive eram uma ameaça significativa para empresas financeiras e organizações de saúde até o FBI derrubar o operador.

Black Basta

 

Surgindo como uma ameaça em 2022, o Black Basta rapidamente fez mais de 100 vítimas na América do Norte, Europa e Ásia. Usando ataques direcionados, os hackers exigiam uma dupla extorsão: tanto para descriptografar os dados da vítima quanto com a ameaça de divulgar informações confidenciais ao público.

CL0P

 

Em 2023, o grupo de ransomware CL0P explorou uma vulnerabilidade no MOVEit, aplicativo de transferência de arquivos, para expor informações sobre milhões de indivíduos.

Eldorado

 

O RaaS Eldorado foi divulgado no início de 2024 em um anúncio em um fórum de ransomware. Em três meses, 16 vítimas já haviam sido atacadas nos EUA e na Europa.1
Proteção contra ransomware como serviço

Proteção contra ransomware como serviço

Embora o RaaS tenha mudado o cenário de ameaças, muitas das práticas padrão de proteção contra ransomware ainda podem ser eficazes para combater ataques de RaaS.

Muitos afiliados do RaaS têm uma capacidade técnica inferior à dos invasores de ransomware anteriores. Aplicar obstáculos suficientes entre hackers e ativos de rede pode desencorajar totalmente alguns ataques de RaaS. Algumas táticas de cibersegurança que podem ser úteis: 

  • Planos de resposta a incidentes abrangentes
  • Ferramentas de detecção baseadas em anomalias
  • Redução da superfície de ataque da rede
  • Treinamento em Cibersegurança
  • Implementação de controles de acesso
  • Manutenção de backups
  • Trabalho em conjunto com autoridades policiais

Planos de resposta a incidentes abrangentes

 

O planejamento de resposta a incidentes pode ser particularmente útil para ataques de RaaS. Como a atribuição do ataque pode ser difícil de determinar, as equipes de resposta a incidentes não podem contar com ataques de ransomware sempre usando as mesmas táticas, técnicas e procedimentos (TTPs).

Além disso, quando as equipes de resposta a incidentes expulsam os afiliados do RaaS, os corretores de acesso podem ainda estar ativos em suas redes. A caça a ameaças proativa e as investigações completas de incidentes podem ajudar as equipes de segurança a erradicar essas ameaças evasivas. 

Ferramentas de detecção baseadas em anomalias

 

Para identificar ataques de ransomware em andamento, as organizações podem usar ferramentas de detecção baseadas em anomalias, como algumas soluções de detecção e resposta de endpoint (EDR) e detecção e resposta de rede (NDR) . Essas ferramentas usam funções de automação inteligente, inteligência artificial (IA) e aprendizado de máquina (ML) para detectar ameaças novas e avançadas quase em tempo real e fornecer maior proteção de endpoint.

Um ataque de ransomware pode ser detectado nos estágios iniciais com um processo incomum de exclusão ou criptografia de backup que começa repentinamente sem aviso prévio. Mesmo antes de um ataque, eventos anômalos podem ser os “sinais de alerta” de um hack iminente que a equipe de segurança pode evitar.

Redução da superfície de ataque da rede

 

As organizações podem ajudar a reduzir suas superfícies de ataque de rede realizando avaliações frequentes de vulnerabilidades e aplicando correções regularmente para fechar vulnerabilidades comumente exploradas.

Ferramentas de segurança, como software antivírus, orquestração, automação e resposta de segurança (SOAR)gerenciamento de eventos e informações de segurança (SIEM)detecção e resposta estendidas (XDR) também podem ajudar as equipes de segurança a interceptar ransomware mais rapidamente.

Treinamento em Cibersegurança

 

Mostre aos funcionários como reconhecer e evitar vetores comuns de ransomware, incluindo phishing, engenharia social e links maliciosos.

Implementação de controles de acesso

 

Autenticação multifatorarquitetura zero trust e segmentação de rede podem ajudar a impedir que o ransomware alcance dados confidenciais.

Manutenção de backups

 

As organizações podem fazer backup regularmente de dados confidenciais e imagens do sistema, idealmente em unidades de disco rígido ou outros dispositivos que possam ser desconectados da rede.

Trabalho em conjunto com autoridades policiais

 

Às vezes, as organizações conseguem economizar no custo e no tempo de contenção com a ajuda de autoridades policiais.

As vítimas de ransomware que envolveram autoridades policiais reduziram o custo de suas violações em uma média de quase US$ 1 milhão, excluindo o custo de qualquer resgate pago, de acordo com o relatório do custo das violações de dados da IBM. O envolvimento de autoridades policiais também ajudou a reduzir o tempo necessário para identificar e conter as violações, de 297 dias para 281 dias.
Soluções relacionadas

Soluções relacionadas

Soluções de proteção contra ransomware

Gerencie proativamente seus riscos de cibersegurança quase em tempo real para detectar, responder e minimizar o impacto de ataques de ransomware. 

 Conheça as soluções de proteção contra ransomware
IBM Storage FlashSystem

O FlashSystem usa modelos de aprendizado de máquina para detectar anomalias como ransomware em menos de um minuto, ajudando a garantir que sua empresa esteja protegida antes de um ataque cibernético.

 Conheça o IBM Storage FlashSystem
IBM Storage Defender

O IBM Storage Defender detecta ameaças antecipadamente e ajuda você a recuperar suas operações com segurança e rapidez no caso de um ataque.

 Explore o IBM Storage Defender
Recursos

Recursos

X-Force Threat Intelligence Index

Capacite-se aprendendo com os desafios e sucessos experimentados pelas equipes de segurança no mundo todo.

Custo de uma violação de dados

Esteja mais bem preparado para violações entendendo suas causas e os fatores que aumentam ou reduzem custos.

Workshop de estruturação e descoberta da IBM Security

Trabalhe com arquitetos e consultores de segurança sênior da IBM para priorizar suas iniciativas de cibersegurança em uma sessão de design thinking presencial, virtual ou sem custo, com três horas de duração.
Dê o próximo passo

Os serviços de cibersegurança da IBM oferecem consultoria, integração e serviços de segurança gerenciados, além de recursos ofensivos e defensivos. Combinamos uma equipe global de especialistas com tecnologia proprietária e de parceiros para cocriar programas de segurança personalizados que gerenciam riscos.

 Conheça os serviços de segurança cibernética Inscreva-se no boletim informativo Think
Notas de rodapé

1New Ransomware-as-a-Service 'Eldorado' Targets Windows and Linux Systems. The Hacker News, 8 de julho de 2024. (link externo a ibm.com).

Produtos Testes de software Serviços Indústrias Estudos de caso (US) Dentro da IBM (US) Financiamento Desenvolvedores Parceiros comerciais IBM Consulting Suporte Localize um parceiro de negócios Carreiras Notícias mais recentes Participe de pesquisas sobre a experiência do usuário Relação com investidores Responsabilidade corporativa Sobre a IBM 100 anos IBM Brasil X LinkedIn YouTube Brasil — Português Contato Privacidade Termos de uso Acessibilidade