Ransomware-as-a-Service (RaaS) là một thuật ngữ an ninh mạng đề cập đến các băng nhóm tội phạm cho các băng nhóm khác thuê ransomware, thông qua một cổng thông tin chuyên dụng hoặc thông qua các chủ đề trên các diễn đàn tấn công.
Các cổng RaaS hoạt động bằng cách cung cấp mã ransomware được tạo sẵn cho các băng nhóm khác. Các băng nhóm này, thường được gọi là khách hàng hoặc chi nhánh của RaaS, thuê mã ransomware, tùy chỉnh nó bằng cách sử dụng các tùy chọn do RaaS cung cấp, sau đó triển khai trong các cuộc tấn công thực tế thông qua một phương pháp mà chúng lựa chọn.
Các phương pháp này thay đổi khác giữa các chi nhánh của RaaS và có thể bao gồm các cuộc tấn công lừa đảo qua email, chiến dịch spam email không cần thiết, sử dụng thông tin đăng nhập RDP (Remote Desktop Protocol) bị xâm phạm để truy cập vào mạng công ty hoặc sử dụng lỗ hổng trong các thiết bị mạng để truy cập vào nội bộ mạng lưới doanh nghiệp.
Các khoản thanh toán từ các sự cố này sẽ được chuyển cho băng đảng RaaS, giữ một tỷ lệ nhỏ và sau đó chuyển phần còn lại cho chi nhánh.
Các dịch vụ của RaaS đã xuất hiện từ năm 2017 và chúng đã được áp dụng rộng rãi vì chúng cho phép các băng nhóm tội phạm phi kỹ thuật phát tán ransomware mà không cần biết cách viết mã và xử lý các khái niệm mật mã tiên tiến.
Các cấp độ RaaS
Theo một báo cáo được nhóm bảo mật Intel 471 công bố ngày 16/11 hiện có khoảng hơn 25 dịch vụ RaaS đang được quảng cáo trên thị trường.
Mặc dù có những băng đảng ransomware hoạt động mà không cho các nhóm khác thuê "sản phẩm" của mình, số lượng cổng RaaS có sẵn ngày nay vượt xa những gì mà nhiều chuyên gia bảo mật nghĩ rằng có thể có sẵn và cho thấy rất nhiều lựa chọn mà các băng nhóm tội phạm có thể tùy ý sử dụng nếu chọn tham gia vào cuộc chơi ransomware.
Nhưng không phải tất cả các dịch vụ RaaS đều cung cấp các tính năng giống nhau. Intel 471 cho biết nhóm đang theo dõi các dịch vụ này trên 3 cấp độ khác nhau, tùy thuộc vào độ tinh vi.
Cấp độ 1 dành cho các hoạt động ransomware nổi tiếng nhất hiện nay. Để được phân loại là RaaS cấp độ 1, các hoạt động này phải kéo dài hàng tháng, chứng minh khả năng tồn tại mã của chúng thông qua một số lượng lớn các cuộc tấn công và tiếp tục hoạt động bất chấp sự công khai.
Danh sách này bao gồm những cái tên như REvil, Netwalker, DopplePaymer, Egregor (Maze) và Ryuk.
Ngoại trừ Ryuk, tất cả các bên khai thác cấp độ 1 cũng điều hành "trang web rò rỉ" chuyên dụng, nơi chúng tiết lộ tên và làm xấu hổ nạn nhân.
Các băng nhóm này cũng sử dụng nhiều loại vectơ xâm nhập, mỗi loại tùy thuộc vào loại chi nhánh mà chúng tuyển dụng. Chúng có thể xâm phạm mạng bằng cách khai thác lỗi trong các thiết bị mạng (bằng cách tuyển dụng các chuyên gia mạng), có thể giảm tải ransomware của họ trên các hệ thống đã bị nhiễm phần mềm độc hại khác (bằng cách làm việc với các nhóm phần mềm độc hại khác) hoặc họ có thể truy cập vào mạng công ty thông qua kết nối RDP (bằng cách làm việc với các bên khai thác hoặc người bán botnet brute-force hoặc thông tin đăng nhập RDP bị xâm phạm).
Cấp độ 2 dành cho các cổng RaaS đã nổi tiếng trong giới tấn công ngầm, cung cấp quyền truy cập vào các chủng ransomware tiên tiến, nhưng vẫn chưa đạt được số lượng chi nhánh và các cuộc tấn công như các nhà khai thác cấp độ 1.
Danh sách này bao gồm những cái tên như Avaddon, Conti, Clop, DarkSide, Mespinoza (Pysa), RagnarLocker, Ranzy (Ako), SunCrypt và Thanos - và đây thực sự là những nhân vật nổi lên của thế giới ransomware.
Các phương pháp này thay đổi khác giữa các chi nhánh của RaaS và có thể bao gồm các cuộc tấn công lừa đảo qua email, chiến dịch spam email không cần thiết, sử dụng thông tin đăng nhập RDP (Remote Desktop Protocol) bị xâm phạm để truy cập vào mạng công ty hoặc sử dụng lỗ hổng trong các thiết bị mạng để truy cập vào nội bộ mạng lưới doanh nghiệp.
Các khoản thanh toán từ các sự cố này sẽ được chuyển cho băng đảng RaaS, giữ một tỷ lệ nhỏ và sau đó chuyển phần còn lại cho chi nhánh.
Các dịch vụ của RaaS đã xuất hiện từ năm 2017 và chúng đã được áp dụng rộng rãi vì chúng cho phép các băng nhóm tội phạm phi kỹ thuật phát tán ransomware mà không cần biết cách viết mã và xử lý các khái niệm mật mã tiên tiến.
Các cấp độ RaaS
Theo một báo cáo được nhóm bảo mật Intel 471 công bố ngày 16/11 hiện có khoảng hơn 25 dịch vụ RaaS đang được quảng cáo trên thị trường.
Mặc dù có những băng đảng ransomware hoạt động mà không cho các nhóm khác thuê "sản phẩm" của mình, số lượng cổng RaaS có sẵn ngày nay vượt xa những gì mà nhiều chuyên gia bảo mật nghĩ rằng có thể có sẵn và cho thấy rất nhiều lựa chọn mà các băng nhóm tội phạm có thể tùy ý sử dụng nếu chọn tham gia vào cuộc chơi ransomware.
Nhưng không phải tất cả các dịch vụ RaaS đều cung cấp các tính năng giống nhau. Intel 471 cho biết nhóm đang theo dõi các dịch vụ này trên 3 cấp độ khác nhau, tùy thuộc vào độ tinh vi.
Cấp độ 1 dành cho các hoạt động ransomware nổi tiếng nhất hiện nay. Để được phân loại là RaaS cấp độ 1, các hoạt động này phải kéo dài hàng tháng, chứng minh khả năng tồn tại mã của chúng thông qua một số lượng lớn các cuộc tấn công và tiếp tục hoạt động bất chấp sự công khai.
Danh sách này bao gồm những cái tên như REvil, Netwalker, DopplePaymer, Egregor (Maze) và Ryuk.
Ngoại trừ Ryuk, tất cả các bên khai thác cấp độ 1 cũng điều hành "trang web rò rỉ" chuyên dụng, nơi chúng tiết lộ tên và làm xấu hổ nạn nhân.
Các băng nhóm này cũng sử dụng nhiều loại vectơ xâm nhập, mỗi loại tùy thuộc vào loại chi nhánh mà chúng tuyển dụng. Chúng có thể xâm phạm mạng bằng cách khai thác lỗi trong các thiết bị mạng (bằng cách tuyển dụng các chuyên gia mạng), có thể giảm tải ransomware của họ trên các hệ thống đã bị nhiễm phần mềm độc hại khác (bằng cách làm việc với các nhóm phần mềm độc hại khác) hoặc họ có thể truy cập vào mạng công ty thông qua kết nối RDP (bằng cách làm việc với các bên khai thác hoặc người bán botnet brute-force hoặc thông tin đăng nhập RDP bị xâm phạm).
Cấp độ 2 dành cho các cổng RaaS đã nổi tiếng trong giới tấn công ngầm, cung cấp quyền truy cập vào các chủng ransomware tiên tiến, nhưng vẫn chưa đạt được số lượng chi nhánh và các cuộc tấn công như các nhà khai thác cấp độ 1.
Danh sách này bao gồm những cái tên như Avaddon, Conti, Clop, DarkSide, Mespinoza (Pysa), RagnarLocker, Ranzy (Ako), SunCrypt và Thanos - và đây thực sự là những nhân vật nổi lên của thế giới ransomware.
Cấp độ 3 dành cho các cổng RaaS mới ra mắt hoặc các dịch vụ RaaS mà không có thông tin giới hạn. Trong một số trường hợp, không rõ liệu có bất kỳ cổng nào trong số này vẫn đang hoạt động hay tác giả của chúng đã bỏ cuộc sau khi cố gắng và không thể chấm dứt các cổng của chúng khỏi thế giới ngầm.
Danh sách này hiện bao gồm những cái tên như CVartek.u45, Exorcist, Gothmog, Lolkek, Muchlove, Nemty, Rush, Wally, Xinof, Zeoticus và sau này là ZagreuS.
Danh sách này hiện bao gồm những cái tên như CVartek.u45, Exorcist, Gothmog, Lolkek, Muchlove, Nemty, Rush, Wally, Xinof, Zeoticus và sau này là ZagreuS.
Nhìn chung, trong khi hệ sinh thái tội phạm mạng ngầm đang tạo ra nhiều lợi nhuận, nó vẫn là một thị trường béo bở. Một số lượng lớn các nhà cung cấp RaaS cho thấy thị trường này còn lâu mới bão hòa.
