O ransomware como serviço (RaaS) permite que invasores qualificados e não qualificados aluguem ferramentas de ransomware e realizem ataques.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
Ransomware-as-a-service (RaaS) é um modelo de negócios para empresas criminosas que permite que qualquer pessoa se inscreva e use ferramentas para realizar ataques de ransomware. Como outros modelos como serviço, por exemplo, software como serviço (SaaS) ou plataforma como serviço (PaaS), os clientes de RaaS alugam serviços de ransomware, em vez de adquiri-los como em um modelo tradicional de distribuição de software.
Ransomware é um malware que bloqueia o sistema ou os arquivos de uma vítima, geralmente por meio de criptografia. A vítima só pode recuperar o acesso aos seus dados depois de pagar um resgate às partes por trás do ataque de ransomware. O ransomware se tornou uma grande indústria no submundo do crime, valendo bilhões de dólares por ano.
Enquanto muitos imaginam que as pessoas por trás de ataques cibernéticos, como ransomware, são programadores altamente qualificados, muitos invasores não escrevem seu próprio código e podem nem saber como fazê-lo. Os criminosos cibernéticos com habilidades de codificação geralmente vendem ou alugam as explorações que desenvolvem em vez de usá-las.
O ransomware é apenas uma área da indústria de crimes cibernéticos com um modelo "como serviço". Os invasores também podem alugar ferramentas para DDoS, assinar listas de credenciais roubadas, contratar botnets ou alugar cavalos de troia bancários, entre outros serviços.
Os serviços RaaS usam vários modelos de cobrança diferentes. Os provedores podem cobrar uma assinatura com taxa fixa mensal, obter uma porcentagem dos lucros de seus clientes, usar um híbrido desses dois modelos ou cobrar uma taxa de licenciamento única. Depois que um cliente RaaS cria uma conta e faz seu primeiro pagamento (geralmente com Bitcoins), ele pode selecionar o tipo de malware que gostaria de usar.
Após a conclusão do pagamento, os invasores iniciam sua campanha de distribuição do malware e infecção das vítimas. Na maioria das vezes, os invasores de ransomware usam campanhas de phishing ou engenharia social para tentar induzir os usuários a executar o malware. (Esses métodos são bastante baratos em comparação com a compra de uma exploração de dia zero ou acesso a um backdoor.) Depois que o malware é executado, o computador da vítima fica criptografado e inutilizável e o invasor exibe uma mensagem com instruções sobre para onde enviar o resgate.
Os provedores de RaaS geralmente oferecem suporte ao cliente 24 horas por dia, 7 dias por semana para invasores que ficam presos ou não conseguem fazer com que seu malware funcione corretamente. A maioria dos fornecedores tem fóruns comunitários onde os clientes podem fazer perguntas e trocar ideias. Muitos também oferecem guias passo a passo sobre como executar um ataque de ransomware com suas ferramentas.
Alguns provedores de RaaS são bastante exigentes sobre para quem vendem seu software. Eles podem querer clientes altamente qualificados que vão atrás de grandes alvos, o que é uma boa publicidade para seu serviço. Eles podem ter outros requisitos, como falar um determinado idioma ou a capacidade de começar a usar o serviço e gerar receita de ransomware imediatamente.
Outros venderão seus serviços para praticamente qualquer pessoa, desde que o cliente seja capaz de pagar ou gerar receita na forma de resgates. Isso apresenta um pequeno risco para os provedores de RaaS, pois, inevitavelmente, alguns clientes podem ser pouco sofisticados e serem pegos.
Nos últimos anos, muitos provedores de RaaS ficaram mais cuidadosos sobre quais setores permitem que seus clientes visem. Por exemplo, eles podem proibir ataques a infraestruturas críticas ou instalações médicas, pois esses ataques podem afetar negativamente a saúde de alguém ou até mesmo causar sua morte. Essas ocorrências extremas chamam a atenção indevida para o mercado de RaaS e os provedores de RaaS podem ter objeções morais em impactar a saúde física de alguém também (em oposição à sua conta bancária).
Ataques que usam RaaS se tornaram comuns nos últimos anos. Alguns exemplos:
O RaaS reduz consideravelmente a barreira de entrada para essa forma lucrativa de crime cibernético — qualquer pessoa com um computador e uma conexão com a internet pode executar um ataque de ransomware. Por esse motivo, os ataques de RaaS provavelmente continuarão a proliferar nos próximos anos.
Como qualquer serviço em nuvem, os serviços RaaS são adquiridos e acessados pela internet. O RaaS geralmente é distribuído por meio de fóruns de malware na dark web. (A "dark web" é uma parte da internet que só pode ser acessada usando um navegador Tor, que oculta a localização e o endereço de IP de um usuário.)
O RaaS é tão competitivo quanto qualquer outro setor, e muitos provedores comercializam agressivamente seus serviços. Os provedores de RaaS têm contas no Twitter, sites, conteúdo em vídeo e outros ativos de marketing. Eles costumam executar campanhas de marketing para impulsionar os negócios. A maioria das ferramentas de RaaS também possui análises de usuários e fóruns da comunidade.
Várias medidas de segurança podem ajudar as organizações a se defenderem contra ataques de ransomware como serviço e ataques de malware em geral:
Para saber mais sobre a defesa contra ataques de RaaS, consulte Como evitar o ransomware.