Geral 3min de Leitura

Ransomware-as-a-Service (RaaS)

Homem de capuz segurando um tablet em suas mãos, simbolizando que está usando o RaaS.

This post is also available in: Português

Você já ouviu falar em RaaS? Sabe do que se trata?

Ransomware-as-a-Service, ou RaaS, como é sua abreviação, é um termo de segurança digital, que se refere a gangues de cibercriminosos que alugam ransomware para outras gangues. Esses aluguéis podem ser feitos por meio de um portal dedicado a isso ou através de threads em fóruns de hackers.

Como funciona o aluguel de ransomware?

Os portais RaaS fornecem um código de ransomware pré-fabricado para outras gangues, que são chamadas de clientes ou afiliados RaaS. Essas gangues alugam o código do ransomware, personalizam usando as opções fornecidas pelo RaaS e implantam ataques no mundo real, utilizando o método de sua escolha.

Os métodos utilizados podem incluir ataques de phishing, campanhas de spam indiscriminado em massa por e-mail, o uso de credenciais RDP comprometidas para obter acesso a redes corporativas ou o uso de vulnerabilidades em dispositivos de rede para obter acesso as redes internas da empresa.

Independentemente de como as gangues afiliadas conseguem infectar a vítima, os pagamentos realizados por esses incidentes vão para a gangue RaaS, que fica com uma pequena porcentagem e repassa o restante para o afiliado.
Esses portais de ofertas de RaaS existem desde 2017 e foram amplamente adotados, pois permitem que gangues criminosas sem muito conhecimento técnico espalhem ransomware sem a necessidade de saber como codificar e lidar com conceitos avançados de criptografia.

RaaS separado em camadas

Atualmente existem cerca de 25 ofertas de Raas sendo anunciadas na cena de hacking underground, segundo relatório publicado pela Intel 471.

O número de portais RaaS disponíveis hoje, é muito maior do que especialistas em segurança digital pensavam que poderia ser e mostra a infinidade de opções que as gangues de cibercriminosos têm a sua disposição caso queiram iniciar ataques de ransomware.

Porém, nem todas as ofertas RaaS fornecem os mesmos recursos. Segundo a Intel 471, que tem rastreado esses serviços, existem três níveis diferentes, dependendo da sofisticação, dos recursos e da história comprovada do RaaS.

Primeira camada

Essa é a camada para as operações de ransomware mais conhecidas da atualidade. Para serem classificadas como RaaS de nível 1, essas operações precisam durar meses, comprovar a viabilidade de seu código por meio de um grande número de ataques e continuar operando, apesar da exposição pública.

Nessa camada estão: REvil, Netwalker, DopplePaymer, Egregor (Maze) e Ryuk.

Com exceção do Ryuk, todos os operadores de nível 1 também administram os chamados sites de vazamento, que são dedicados a denunciar e envergonhar as vítimas como parte de seu cartel de extorsão.

Essas gangues também usam uma ampla variedade de vetores de intrusão, cada um dependendo do tipo de afiliados que recrutam. Eles podem violar redes explorando bugs em dispositivos de rede, podem descartar sua carga útil de ransomware em sistemas já infectados por outro malware ou podem obter acesso às redes da empresa por meio de conexões RDP.

Segunda camada

Essa é uma camada para portais RaaS, que ganhou uma reputação no submundo do hacking, fornecendo acesso a variedades avançadas de ransomware, mas ainda não alcançaram o mesmo número de afiliados e ataques que os operadores do Nível 1.

Nessa camada estão: Avaddon, Conti, Clop, DarkSide, Mespinoza (Pysa), RagnarLocker, Ranzy (Ako), SunCrypt e Thanos.
Esses são efetivamente os mais promissores do mundo do ransomware.

Terceira camada

Essa camada é para os portais RaaS recém-lançados ou para ofertas RaaS sobre as quais não há informações disponíveis.

Em alguns casos, não está claro se algum deles ainda está funcionando ou se seus autores desistiram depois de tentar e não conseguir tirar seus portais do chão.

Nessa camada estão: CVartek.u45, Exorcista, Gothmog, Lolkek, Muchlove, Nemtv, Rush, Wally, Xinof, Zeoticus e (chegada tardia) ZagreuS.

Embora o ecossistema do cibercrime clandestino gere lucros por meio de atividades criminosas, ele ainda é um mercado e, como todos os mercados, é regido pelos mesmos princípios que norteiam qualquer outro mercado hoje.
Um número grande de provedores de serviço é um claro sinal de uma economia em expansão, que está longe de estar saturada.

A saturação do mercado RaaS só acontecerá quando os cibercriminosos criarem mais portais RaaS do que os grupos afiliados estão dispostos a assinar ou quando as empresas reforçarem suas medidas de segurança, tornando o processo de intrusão mais difícil, esgotando os lucros dos criminosos.

Via: Intel471.

This post is also available in: Português