Ransomware-as-a-Service (RaaS)

Ransomware-as-a-Service (RaaS)

22
Antonio Pirozzi

Autor: Antonio Pirozzi

Introducere

În acești ani, Darknet a creat noi modele de afaceri ilegale. De fapt, peste conţinutul clasic ilegal, cum ar fi drogurile, armele și ucigașii, s-au născut alte servicii pentru speculă și câștig. În contextul securităţii informaţiilor, sunt disponibile servicii de hacking și dezvoltarea de software ilegal, cum ar fi software rău intenţionat. Noua tendinţă constă în utilizarea platformelor care permit chiar oamenilor fără experienţă să creeze ransomware la cerere.

Un ransomware este un cod rău intenţionat care infectează mașinile victimelor și blochează sau criptează fișierele lor, pretinzând o răscumpărare. Când aplicaţia ransomware este instalată pe o mașină victimă, aceasta caută și vizează fișiere și date sensibile, cum ar fi date financiare importante, baze de date și fișiere personale. Acestea sunt concepute pentru a face inutilizabile mașinile victimelor. Apoi, malware-ul cere să se plătească o răscumpărare pentru datele de utilizator criptate prin apariţia unei fereastre sau crearea unor fișiere text care conţin instrucţiunile de plată. Utilizatorul are doar două opţiuni: să plătească răscumpărarea fără a avea garanţia de a i se returna fișierele originale sau să formateze PC-ul deconectându-l de la Internet.
Hacker Coding

Istoria ransomware

Primul ransomware s-a născut în 1989, când 20.000 de dischete au fost expediate ca „Dischete cu informaţii introductive despre SIDA”, iar după 90 de reporniri software-ul a ascuns directoarele și a criptat numele fișierelor pe computerul clientului, pretinzând o răscumpărare de 189 dolari. Plata trebuia făcută depunând suma solicitată la o cutie poștală din Panama.

După mai mulţi ani, în mai 2005, GpCode, TROJ.RANSOM.A, Archiveus, Krotten și alţii au apărut și astfel s-a marcat începutul răspândirii maxime a acestui tip de malware.

Odată cu apariţia noilor modalităţi de plată anonime la sfârșitul anului 2008, cum ar fi Bitcoin, răscumpărarea a schimbat abordarea cererii de plată de răscumpărare.

Deși au existat mai multe familii de ransomware, cum ar fi CryptoLocker, TeslaCrypt, Locky și alţii, în 2017, WannaCry Ransomware Attack a terorizat cea mai mare parte a lumii din cauza comportamentului său de tip vierme, cu ajutorul căruia malware-ul a reușit să se răspândească în mai mult de 230.000 de mașini care exploatează o vulnerabilitate din protocolul SMB. În ciuda comportamentului său neașteptat de vierme, WannaCry a continuat să cripteze fișierele utilizatorilor utilizând metodele clasice, însă a cerut o plată de 300 $ în Bitcoin care trebuia trimisă unei adrese Bitcoin furnizată.

2017 – Anul ransomware

Anul trecut s-au petrecut cele mai grave atacuri de răscumpărare, răspândite în întreaga lume. Au existat cel puţin trei atacuri de răscumpărare care au provocat daune economice pentru milioane de dolari.

Primul a fost WannaCry, care a lovit toate tipurile de infrastructură, începând de la companii de comunicaţii, cum ar fi Telefonica, FedEx și Deutsche Bahn, până la agenţii spaniole din Anglia. S-a propagat prin EternalBlue, un exploit în sistemele Windows mai vechi, lansat de The Shadow Brokers cu câteva luni înainte de atac. Chiar dacă Microsoft lansase anterior un patch pentru a închide exploataţia, organizaţiile care nu le-au aplicat sau care foloseau sisteme mai vechi Windows au fost afectate.

Bilet de rascumparare WannaCry
Figura 1 – Biletul de răscumpărare WannaCry

Al doilea este NotPetya, care este de fapt evoluţia unui alt ransomware infam, cunoscut sub numele de Petya, răspândit în sălbăticie în 2016. Acest ransomware se propagă cu același exploit ca și WannaCry, EternalBlue. Caracteristica acestui malware este că a fost proiectat să nu fie un ransomware, ci un wiper, deoarece criptează înregistrarea Master Boot a mașinii și din cauza unei erori algoritmice, nu mai este posibilă restabilirea situaţiei anterioare, iar datele sunt astfel pierdute

Bilet de rascumparare NotPetya
Figura 2 – Biletul de răscumpărare NotPetya

Ultima teroare a sistemelor informatice a fost Bad Rabbit. A reprezentat evoluţia sistemului de transferuri NotPetya și a vizat în special Turcia, Germania, Polonia, Japonia, Statele Unite și alte ţări. Dar daunele majore au avut loc la aeroportul Odesa din Ucraina. Este interesant de menţionat că programul malware nu implementează în mod explicit un comportament de wiper, sugerând că operatorii sunt motivaţi financiar. Cu toate acestea, site-ul de tip .onion folosit pentru plată nu mai este disponibil, ceea ce înseamnă că victimele nu pot plăti răscumpărarea pentru a decripta fișierul. Acest comportament ar putea fi intenţionat și folosit de atacatori ca o tactică de distragere a atenţiei, pentru a se ascunde.

Website-ul de plata Bad Rabbit
Figura 3 – Website-ul de plată Bad Rabbit
Caracteristici generale Ransomware

Tipurile de atacuri din ultimii zece ani ar putea fi clasificate astfel:

  • ► Ransomware de tip Locker: este un ransomware care nu mai permite accesul utilizatorilor la propriile dispozitive;
  • ► Ransomware de tip Crypto: este un ransomware care cripteaza fișiere, directoare și hard disk-uri.

Primul tip a fost folosit între 2008 și 2011. A fost eliminat deoarece era destul de simplu să fie eliminată infecţia fără a fi plătită răscumpărarea. De fapt, ransomware-ul de tip Locker are vulnerabilitatea că arată o fereastră care neagă accesul la computer, fiind însă ușor apoi să se ocolească blocarea de către ransomware.

Cel de-al doilea tip nu are această problemă, deoarece cripto-malware-ul afectează direct fișierele utilizatorilor, permiţând în paralel utilizarea sistemului de către victimă. Astfel, utilizatorul nu poate accesa informaţiile conţinute în fișierele criptate.

Apoi, următorul tip de ransomware folosește aceeași abordare criptografică a celui de-al doilea, dar implică o combinaţie de eforturi avansate de distribuţie și tehnici de dezvoltare utilizate pentru a asigura evaziunea și anti- analiza, așa cum atestă Locky și WannaCry.

Evident, crearea unui ransomware necesită capabilităţi specifice și avansate, pe lângă efortul de dezvoltare. Acest lucru face ca ransomware-ul să fie un instrument pentru puţini oameni. Dar pentru a satisface nevoile oamenilor care doresc să se răzbune, să facă bani sau doar pentru distracţie, se nasc noi servicii, servicii care să faciliteze „cumpărarea și vânzarea” de software rău intenţionat. Și astfel a apărut conceptul de Ransomware-as-a-Service (RaaS).

Ransomware-as-a-Service

Dezvoltarea modelului de distribuţie RaaS oferă infractorilor o modalitate extrem de simplă de a lansa o afacere de extorcare a informaţiilor cibernetice, fără a necesita practic nicio expertiză tehnică, inundând piaţa cu noi tulpini de răscumpărare în acest proces.

Ransomware-as-a-Service creează un nou model de afaceri, deoarece permite câștiguri atât de partea vânzătorilor de programe malware, cât și de partea clienţilor. Vânzătorii de malware, folosind această abordare, pot achiziţiona noi vectori de infecţie și noi victime pe care nu le pot atinge prin abordarea convenţională, de tipul spam-ului prin e-mail sau compromiterea unui website. Clienţii RaaS pot obţine cu ușurinţă o armă tehnologică prin accesarea portalului RaaS, unde configurează caracteristicile malware-ului și asigură distribuirea acestuia către victime neștiutoare. Obiectivele pot fi diferite și sunt legate fie de a face bani ușor și rapid, fie de a găsi o modalitate de răzbunare împotriva cuiva.

Aceste platforme ilegale nu pot fi găsite pe Clearnet, așa că sunt în mod necesar ascunse în partea întunecată a Internetului, The Dark Web.

Accesând zona întunecată a web-ului, prin intermediul motoarelor de căutare neconvenţionale, puteţi găsi mai multe site-uri care oferă RaaS. Fiecare dintre ele oferă caracteristici diferite ale creării de ransomware și plăţii proprietarului platformei, permiţându-vă să selectaţi extensiile de fișiere pentru faza de criptare, precum și modalitatea de transmitere a răscumpărării către victime dar și alte funcţii tehnice pe care malware-ul le va implementa.

În plus, dincolo de utilizarea platformelor RaaS, achiziţionarea de software rău intenţionat personalizat se poate face printr-un site web în care puteţi comunica cu un hacker pentru crearea unui program malware personalizat. Din punct de vedere istoric, acest comerţ a existat întotdeauna, dar a fost specializat în atacuri cibernetice, cum ar fi spionajul, accesarea ilegală a unor conturi și modificarea interfeţelor paginilor web. Însă din momentul în care hackerii au înţeles că ar putea fi profitabili, ei încep să furnizeze acest serviciu specific. Astfel, furnizarea acestui tip de serviciu este realizată în mod substanţial în două moduri: primul este să angajeze pe cineva să scrie un program malware cu cerinţele definite de client, iar al doilea este să utilizeze o platformă Ransomware-as-a-Service.

În tabelul următor sunt sintetizate principalele platforme de pe Darknet de Rent-a-Hacker și Ransomware-as-a-Service.

Servicii Rent-A-Hacer
X-Hacker XHacker este o platformă clasică, asigură servicii de tipul rent-a-hacker service. Acest hacker stabilește un preţ minim de 200 de dolari pentru o acţiune. Pentru a fi contactat, el publică o adresă de email la care atașează o cheie de criptare publică de tipul PGP.
Hacker for Hire Asigură mai multe servicii de tip hacking: cyber-bullism, extorsiune cibernetica, atacul asupra conturilor de social media și multe alte lucruri. Există o listă cu preţuri pentru fi ecare operaţiune.
HXT HXT oferă servicii de elită, cum ar fi : atacuri de tipul DDoS, compromiterea unor conturi personale, botnet și nu în ultimul rând atacuri de tip Ransomware la cerere. Pentru fiecare serviciu hacker-ii au anumite preţuri, cel mai scump fiind bineînţeles RaaS.
Pirate Crackers Acest site oferă mai multe servicii, cum ar fi hacking e-mailului și al telefoanelor mobile, hacking al conturilor de social media, atacuri de tip DDoS și crearea de software rău intenţionat. Pentru fi ecare serviciu există o listă de preţuri, și se menţionează explicit că plata trebuie făcută în Bitcoin.
Rent-a-Hacker El poate realiza spionaj economic, poate compromite reţelele și site-urile, poate realiza atacuri de tip DDoS și diverse alte activităţi de hacking în general. Aici în loc să existe un preţ pentru fi ecare tip de servicii de hacking, preţurile serviciilor sunt bazate pe dimensiunea acestora (mici, medii și mari).
Platforme Ransomware-as-a-Service
Raasberry În această platformă există o secţiune privată, în care puteţi vedea statistici despre campania dvs. de răscumpărare, urmărirea numărului de infecţii, a numărului de persoane plătitoare și a câștigurilor relative. Există un tablou de bord în care puteţi achiziţiona pachete noi care includ, pentru fi ecare plan, același program de răscumpărare, dar un alt timp de abonament la comanda și control. Există mai multe planuri, de la Plastic la Platină. Odată ce v-aţi înregistrat pe platformă și aţi cumpărat un nou pachet, platforma vă atribuie o adresă personală de tip bitcoin și puteţi controla statisticile despre campania dvs. de răscumpărare dar puteţi și să verifi caţi câștigul obţinut.
Ranion Această platformă declară că centrul de comandă al ransomware-ului ei «complet nedetectabil» este stabilit în Darknet. În tabloul de bord, puteţi achiziţiona pachete noi care includ, pentru fiecare plan, același program de răscumpărare, dar un alt tip de abonament de acces temporizat la comanda și control. Există o secţiune denumită Ransomware Decrypter, în care victima inserează cheia, trimisă de infractor după ce a plătit răscumpărarea. După ce se apasă butonul de decriptare, se începe procesul de decriptare a fișierelor.
Earth Ransomware Spre deosebire de alte platforme RaaS anterior menţionate, aceasta oferă serviciul cu rată fixă la preţul de 0,3 BTC. Atunci când clientul plătește cotaţia la adresa indicată în corespondenţă, își obţine date de acces pentru a intra în secţiunea personală. În zona editorului, puteţi să vă creaţi răscumpărarea dvs. personală, în care puteţi seta numărul de bitcoins de care aveţi nevoie, adresa de e-mail, termenul limită de plată – ultimul termen de plată și adresa bitcoin. După infectare, nota de răscumpărare este arătată victimei, unde sunt indicate fi șierele criptate, termenul limită de plată și, evident, adresa de tip bitcoin.
Redfox Noutatea lui Redfox este că este găzduită în Clearnet. RedFox criptează toate fi șierele utilizatorilor și unităţile partajate utilizând algoritmul BlowFish. Pagina de web spune că Command and Control, care este găzduit de Tor, vă permite să alegeţi suma de răscumpărare, nota de răscumpărare, modul de plată, termenul de plată și alte caracteristici tehnice, cum ar fi utilizarea legăturilor, ambalajele și criptoarele pentru a garanta antianaliza din eșantion.
Create your own ransomware Este o platformă total gratuită. Din website-ul său puteţi descărca un ransomware de tipul ready-to-go completând doar 3 câmpuri ale unui formular: adresa Bitcoin în care doriţi să primiţi «partea dumneavoastră de bani», suma de răscumpărare și un cod de tip CAPTCHA. După cum se arată în site-ul web, «partea dumneavoastră de bani» reprezintă 90% din suma de răscumpărare, restul fi ind taxa de serviciu. Se pot vizualiza și câteva statistici cu privire la campania de răscumpărare.
DataKeeper Singura platformă care nu a fost confiscată încă este serviciul DataKeeper. Când vă înregistraţi pe site-ul web, aveţi acces la o pagină de confi gurare a programelor malware, unde puteţi alege capabilităţile malware și alte setări de confi gurare. Această platformă pare a fi una dintre cele mai complete, deoarece permite să se precizeze ce extensie a fi șierelor să cripteze.