O que é ransomware como serviço (RaaS)?

O ransomware como serviço (RaaS) permite que invasores qualificados e não qualificados aluguem ferramentas de ransomware e realizem ataques.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir o ransomware como serviço (RaaS)
  • Entender o modelo de negócios de RaaS
  • Aprender como se defender contra os ataques de RaaS

Copiar o link do artigo

O que é ransomware como serviço (RaaS)?

Ransomware-as-a-service (RaaS) é um modelo de negócios para empresas criminosas que permite que qualquer pessoa se inscreva e use ferramentas para realizar ataques de ransomware. Como outros modelos como serviço, por exemplo, software como serviço (SaaS) ou plataforma como serviço (PaaS), os clientes de RaaS alugam serviços de ransomware, em vez de adquiri-los como em um modelo tradicional de distribuição de software.

Ransomware é um malware que bloqueia o sistema ou os arquivos de uma vítima, geralmente por meio de criptografia. A vítima só pode recuperar o acesso aos seus dados depois de pagar um resgate às partes por trás do ataque de ransomware. O ransomware se tornou uma grande indústria no submundo do crime, valendo bilhões de dólares por ano.

Enquanto muitos imaginam que as pessoas por trás de ataques cibernéticos, como ransomware, são programadores altamente qualificados, muitos invasores não escrevem seu próprio código e podem nem saber como fazê-lo. Os criminosos cibernéticos com habilidades de codificação geralmente vendem ou alugam as explorações que desenvolvem em vez de usá-las.

O ransomware é apenas uma área da indústria de crimes cibernéticos com um modelo "como serviço". Os invasores também podem alugar ferramentas para DDoS, assinar listas de credenciais roubadas, contratar botnets ou alugar cavalos de troia bancários, entre outros serviços.

Como funciona o ransomware como serviço?

Os serviços RaaS usam vários modelos de cobrança diferentes. Os provedores podem cobrar uma assinatura com taxa fixa mensal, obter uma porcentagem dos lucros de seus clientes, usar um híbrido desses dois modelos ou cobrar uma taxa de licenciamento única. Depois que um cliente RaaS cria uma conta e faz seu primeiro pagamento (geralmente com Bitcoins), ele pode selecionar o tipo de malware que gostaria de usar.

Após a conclusão do pagamento, os invasores iniciam sua campanha de distribuição do malware e infecção das vítimas. Na maioria das vezes, os invasores de ransomware usam campanhas de phishing ou engenharia social para tentar induzir os usuários a executar o malware. (Esses métodos são bastante baratos em comparação com a compra de uma exploração de dia zero ou acesso a um backdoor.) Depois que o malware é executado, o computador da vítima fica criptografado e inutilizável e o invasor exibe uma mensagem com instruções sobre para onde enviar o resgate.

Os provedores de RaaS geralmente oferecem suporte ao cliente 24 horas por dia, 7 dias por semana para invasores que ficam presos ou não conseguem fazer com que seu malware funcione corretamente. A maioria dos fornecedores tem fóruns comunitários onde os clientes podem fazer perguntas e trocar ideias. Muitos também oferecem guias passo a passo sobre como executar um ataque de ransomware com suas ferramentas.

Quem usa RaaS?

Alguns provedores de RaaS são bastante exigentes sobre para quem vendem seu software. Eles podem querer clientes altamente qualificados que vão atrás de grandes alvos, o que é uma boa publicidade para seu serviço. Eles podem ter outros requisitos, como falar um determinado idioma ou a capacidade de começar a usar o serviço e gerar receita de ransomware imediatamente.

Outros venderão seus serviços para praticamente qualquer pessoa, desde que o cliente seja capaz de pagar ou gerar receita na forma de resgates. Isso apresenta um pequeno risco para os provedores de RaaS, pois, inevitavelmente, alguns clientes podem ser pouco sofisticados e serem pegos.

Nos últimos anos, muitos provedores de RaaS ficaram mais cuidadosos sobre quais setores permitem que seus clientes visem. Por exemplo, eles podem proibir ataques a infraestruturas críticas ou instalações médicas, pois esses ataques podem afetar negativamente a saúde de alguém ou até mesmo causar sua morte. Essas ocorrências extremas chamam a atenção indevida para o mercado de RaaS e os provedores de RaaS podem ter objeções morais em impactar a saúde física de alguém também (em oposição à sua conta bancária).

Quais são alguns exemplos de ataques de ransomware como serviço?

Ataques que usam RaaS se tornaram comuns nos últimos anos. Alguns exemplos:

  • O DarkSide é um grupo de ransomware que vende RaaS. O ataque Colonial Pipeline de 2021 foi atribuído ao DarkSide.
  • O REvil é vendido como RaaS. O ataque de ransomware de 2021 ao provedor de TI Kaseya, usou o ransomware REvil.
  • O ransomware Dharma é vendido como serviço e tem sido usado em dezenas, senão centenas, de ataques desde 2016.

O RaaS reduz consideravelmente a barreira de entrada para essa forma lucrativa de crime cibernético — qualquer pessoa com um computador e uma conexão com a internet pode executar um ataque de ransomware. Por esse motivo, os ataques de RaaS provavelmente continuarão a proliferar nos próximos anos.

Onde os criminosos compram um ransomware como serviço?

Como qualquer serviço em nuvem, os serviços RaaS são adquiridos e acessados pela internet. O RaaS geralmente é distribuído por meio de fóruns de malware na dark web. (A "dark web" é uma parte da internet que só pode ser acessada usando um navegador Tor, que oculta a localização e o endereço de IP de um usuário.)

Como os provedores de ransomware como serviço comercializam seus serviços?

O RaaS é tão competitivo quanto qualquer outro setor, e muitos provedores comercializam agressivamente seus serviços. Os provedores de RaaS têm contas no Twitter, sites, conteúdo em vídeo e outros ativos de marketing. Eles costumam executar campanhas de marketing para impulsionar os negócios. A maioria das ferramentas de RaaS também possui análises de usuários e fóruns da comunidade.

Como se defender contra os ataques de ransomware como serviço

Várias medidas de segurança podem ajudar as organizações a se defenderem contra ataques de ransomware como serviço e ataques de malware em geral:

  • Treinamento de segurança do usuário: treinar funcionários, contratados e outros usuários para reconhecer ataques de phishing e ataques de engenharia social diminui a probabilidade de um ataque de RaaS ser bem sucedido.
  • Segurança de e-mail: muitos ataques de ransomware começam com um anexo de e-mail infectado. A verificação de e-mails em busca de malware e o bloqueio de anexos de e-mail de fontes não confiáveis podem ajudar a eliminar esse vetor de ataque.
  • Backups de dados frequentes: o ransomware torna as organizações incapazes de acessar ou usar seus dados. Mas, em muitos casos, uma organização pode restaurar seus dados de um backup em vez de pagar o resgate para descriptografá-los ou reconstruir toda a infraestrutura de TI do zero.

Para saber mais sobre a defesa contra ataques de RaaS, consulte Como evitar o ransomware.