Ransomware as a Service (RaaS) cho phép bọn tội phạm có ít kinh nghiệm về công nghệ sử dụng phần mềm độc hại được tạo sẵn để thực hiện các cuộc tấn công ransomware nâng cao. Đây là một hoạt động bất hợp pháp trên các mô hình as-a-service (ví dụ: SaaS hoặc PaaS), RaaS cung cấp quyền truy cập vào phần mềm độc hại cấp chuyên gia, dễ dàng sử dụng để tấn công bất kỳ mục tiêu nào mà “khách hàng” nhắm đến.
Bài viết này sẽ cung cấp cho bạn mọi thứ cần biết về Ransomware as a Service (RaaS) là gì, cách nó hoạt động, tại sao nhiều tên tội phạm thấy nó hấp dẫn,…). Ngoài ra, chúng tôi cũng sẽ giới thiệu những cách hiệu quả nhất để bảo vệ bạn khỏi các cuộc tấn công kiểu RaaS.
Ransomware as a Service (RaaS) là gì?
Ransomware as a Service (RaaS) là một “mô hình kinh doanh” trả tiền để sử dụng, cho phép bọn tội phạm thuê phần mềm độc hại đã được phát triển trước để thực hiện các cuộc tấn công ransomware. RaaS mang lại lợi ích cho cả hai bên tội phạm:
>>> Xem thêm: máy chủ dell t150
Ví dụ về Ransomware as a Service
Mặc dù hầu hết các chương trình RaaS đều có bản chất bí mật, nhưng một số đã đủ nổi tiếng để nổi bật trong đám đông. Dưới đây là các bộ công cụ RaaS phổ biến nhất hiện nay dành cho các tên tội phạm (mặc dù được cho là RaaS nổi tiếng nhất nhưng REvil không có tên trong danh sách bên dưới kể từ khi nhóm ngừng hoạt động vào tháng 1 năm 2022):
Ryuk: Ryuk đã có sẵn trên cơ sở RaaS từ năm 2019 và đã “kiếm được” hơn 150 triệu đô la từ các khoản tiền chuộc. Nhóm này tấn công các mục tiêu có giá trị cao (các phương tiện truyền thông, cơ quan chính phủ, cơ sở y tế,…) có khả năng thanh toán số tiền lớn. Các thành viên liên kết sử dụng kỹ thuật xâm nhập bằng tay để truy cập trái phép vào các hệ thống mục tiêu, vì vậy có một số kỹ năng là điều kiện tiên quyết để trở thành thành viên liên kết.
RTM Locker: Read the Manual (RTM) Locker dựa trên mã nguồn bị rò rỉ từ ransomware Babuk. Băng đảng đứng sau RTM Locker chạy các chiến dịch RaaS theo phong cách giống như một công ty, trong đó các thành viên liên kết phải đáp ứng các chỉ tiêu hoạt động và thông báo cho giám đốc về thời gian nghỉ phép của họ.
DarkSide: Chương trình RaaS này chủ yếu tấn công các máy tính chạy hệ điều hành Windows, mặc dù gần đây đã có báo cáo về việc nó tấn công các thiết bị Linux. DarkSide là biến thể gây ra cuộc tấn công vào đường ống dẫn dầu Colonial vào tháng 5 năm 2021, dẫn đến tình trạng thiếu nhiên liệu trên toàn bộ bờ Đông nước Mỹ.
Dharma: Dharma xuất hiện lần đầu vào năm 2016, nhưng biến thể này đã có sẵn dưới dạng RaaS vào năm 2020. Các chuyên gia bảo mật cho rằng chủng này là do một nhóm đe dọa của Iran tạo ra, mặc dù Dharma không có quyền kiểm soát tập trung. Dharma và các thành viên liên kết của nó chủ yếu dựa vào các lỗ hổng trong giao thức máy tính từ xa (RDP).
LockBit: LockBit là một bộ công cụ RaaS chỉ có sẵn cho các thành viên liên kết nói tiếng Nga. Theo tác giả, LockBit đã thành công tấn công hơn 12.125 tổ chức. Phần mềm độc hại này trở nên nổi tiếng với khả năng tự lan truyền và nhanh chóng tiết lộ tệp trước khi mã hóa (điều này giúp tạo áp lực đối với nạn nhân với mối đe dọa gây ra rò rỉ dữ liệu).
Ransomware as a Service hoạt động như thế nào?
Ở đầu hệ thống phân cấp Ransomware as a Service là những người vận hành chịu trách nhiệm:
Các thành viên liên kết nhận công việc và phải trải qua quá trình hướng dẫn chi tiết, trong đó người điều hành giải thích cách tốt nhất để xâm nhập vào các hệ thống mục tiêu. Sau đó, thành viên liên kết nhận mã khai thác tùy chỉnh cũng như quyền truy cập vào cổng thông tin để theo dõi:
Cuối cùng, người điều hành RaaS và thành viên liên kết chia sẻ khoản thanh toán chuộc từ nạn nhân. Trung bình, người điều hành nhận được khoảng 20-30% từ mỗi khoản chuộc trong khi thành viên liên kết giữ phần còn lại.
>>> Xem thêm: máy chủ dell poweredge t150
Mô hình doanh thu RaaS
Có nhiều mô hình doanh thu khác nhau mà những người vận hành RaaS dựa vào để tạo lợi nhuận. Dưới đây là những mô hình doanh thu phổ biến nhất:
Công ty cổ phần thương mại Máy Chủ Hà Nội
- Trụ sở Hà Nội: Tầng 1,2,4 - Tòa nhà PmaxLand số 32 ngõ 133 Thái Hà - Q. Đống Đa
Hotline mua hàng Hà Nội: 0979 83 84 84 Điện thoai: 024 6296 6644
- CN Hồ Chí Minh: Lầu 1- Tòa nhà 666/46/29 Đường 3/2- Phường 14 - Quận 10
Hotline mua hàng Hồ Chí Minh: 0945 92 96 96 Điện thoai: 028 2244 9399
- Email: hotro@maychuhanoi.vn
- website: https://maychuhanoi.vn/
- facebook: https://www.facebook.com/maychuhanoi
Bài viết này sẽ cung cấp cho bạn mọi thứ cần biết về Ransomware as a Service (RaaS) là gì, cách nó hoạt động, tại sao nhiều tên tội phạm thấy nó hấp dẫn,…). Ngoài ra, chúng tôi cũng sẽ giới thiệu những cách hiệu quả nhất để bảo vệ bạn khỏi các cuộc tấn công kiểu RaaS.
Ransomware as a Service (RaaS) là gì?
Ransomware as a Service (RaaS) là một “mô hình kinh doanh” trả tiền để sử dụng, cho phép bọn tội phạm thuê phần mềm độc hại đã được phát triển trước để thực hiện các cuộc tấn công ransomware. RaaS mang lại lợi ích cho cả hai bên tội phạm:
- Những người vận hành RaaS (những đối tượng tạo ra ransomware) đối diện với ít rủi ro cá nhân hơn, mở rộng cuộc tấn công và nhận phần trăm trên mỗi khoản tiền chuộc đã thanh toán.
- Các thành viên liên kết RaaS (những kẻ tấn công phân phối ransomware) có quyền truy cập vào phần mềm hàng đầu, làm cho Ransomware as a Service trở thành lựa chọn lý tưởng cho những tên tội phạm thiếu kỹ năng hoặc thời gian để tạo ra phần mềm độc hại tùy chỉnh.
- Phần mềm ransomware mã hóa các tập tin cụ thể trên hệ thống của mục tiêu.
- Quyền truy cập vào máy chủ chỉ huy và điều khiển (C&C).
- Hướng dẫn chi tiết về cách sử dụng chương trình ransomware và cơ sở hạ tầng C&C.
- Hệ thống xử lý thanh toán thông qua đó các nạn nhân trả tiền chuộc bằng tiền điện tử.
- Bảng điều khiển cho phép các thành viên liên kết theo dõi chiến dịch, giám sát số lượng lây nhiễm và xem các khoản thanh toán tích lũy.
- Các tài liệu và tài nguyên bổ sung giúp phân phối ransomware (ví dụ: công cụ lọc dữ liệu, mẫu email lừa đảo , bộ công cụ khai thác, trang web bị nhiễm phần mềm độc hại,…)
- Một nền tảng để tiết lộ dữ liệu bị đánh cắp (thường là một trang web hoặc kênh Telegram) trong trường hợp nạn nhân quyết định không trả tiền chuộc.
- Hỗ trợ tận tình 24/7.
- Các Whitepaper chi tiết.
- Các Playbook và mẹo.
- Các khóa đào tạo và video.
- Tự động vá lỗi.
- Truy cập vào các diễn đàn liên kết và các nhóm trò chuyện.
>>> Xem thêm: máy chủ dell t150
Ví dụ về Ransomware as a Service
Mặc dù hầu hết các chương trình RaaS đều có bản chất bí mật, nhưng một số đã đủ nổi tiếng để nổi bật trong đám đông. Dưới đây là các bộ công cụ RaaS phổ biến nhất hiện nay dành cho các tên tội phạm (mặc dù được cho là RaaS nổi tiếng nhất nhưng REvil không có tên trong danh sách bên dưới kể từ khi nhóm ngừng hoạt động vào tháng 1 năm 2022):
Ryuk: Ryuk đã có sẵn trên cơ sở RaaS từ năm 2019 và đã “kiếm được” hơn 150 triệu đô la từ các khoản tiền chuộc. Nhóm này tấn công các mục tiêu có giá trị cao (các phương tiện truyền thông, cơ quan chính phủ, cơ sở y tế,…) có khả năng thanh toán số tiền lớn. Các thành viên liên kết sử dụng kỹ thuật xâm nhập bằng tay để truy cập trái phép vào các hệ thống mục tiêu, vì vậy có một số kỹ năng là điều kiện tiên quyết để trở thành thành viên liên kết.
RTM Locker: Read the Manual (RTM) Locker dựa trên mã nguồn bị rò rỉ từ ransomware Babuk. Băng đảng đứng sau RTM Locker chạy các chiến dịch RaaS theo phong cách giống như một công ty, trong đó các thành viên liên kết phải đáp ứng các chỉ tiêu hoạt động và thông báo cho giám đốc về thời gian nghỉ phép của họ.
DarkSide: Chương trình RaaS này chủ yếu tấn công các máy tính chạy hệ điều hành Windows, mặc dù gần đây đã có báo cáo về việc nó tấn công các thiết bị Linux. DarkSide là biến thể gây ra cuộc tấn công vào đường ống dẫn dầu Colonial vào tháng 5 năm 2021, dẫn đến tình trạng thiếu nhiên liệu trên toàn bộ bờ Đông nước Mỹ.
Dharma: Dharma xuất hiện lần đầu vào năm 2016, nhưng biến thể này đã có sẵn dưới dạng RaaS vào năm 2020. Các chuyên gia bảo mật cho rằng chủng này là do một nhóm đe dọa của Iran tạo ra, mặc dù Dharma không có quyền kiểm soát tập trung. Dharma và các thành viên liên kết của nó chủ yếu dựa vào các lỗ hổng trong giao thức máy tính từ xa (RDP).
LockBit: LockBit là một bộ công cụ RaaS chỉ có sẵn cho các thành viên liên kết nói tiếng Nga. Theo tác giả, LockBit đã thành công tấn công hơn 12.125 tổ chức. Phần mềm độc hại này trở nên nổi tiếng với khả năng tự lan truyền và nhanh chóng tiết lộ tệp trước khi mã hóa (điều này giúp tạo áp lực đối với nạn nhân với mối đe dọa gây ra rò rỉ dữ liệu).
Ransomware as a Service hoạt động như thế nào?
Ở đầu hệ thống phân cấp Ransomware as a Service là những người vận hành chịu trách nhiệm:
- Phát triển tải trọng ransomware (được viết từ đầu hoặc thu thập từ các hacker khác).
- Thiết lập và quản lý toàn bộ cơ sở hạ tầng phụ trợ cần thiết để thực hiện các cuộc tấn công (một máy chủ C&C, phần mềm quản lý khóa, kênh liên lạc và hệ thống xử lý thanh toán).
- Tạo một cổng thông tin cho phép các thành viên liên kết đăng ký và sử dụng dịch vụ RaaS.
- Chuẩn bị hướng dẫn chi tiết về cách thực hiện các cuộc tấn công bằng phần mềm của họ.
Các thành viên liên kết nhận công việc và phải trải qua quá trình hướng dẫn chi tiết, trong đó người điều hành giải thích cách tốt nhất để xâm nhập vào các hệ thống mục tiêu. Sau đó, thành viên liên kết nhận mã khai thác tùy chỉnh cũng như quyền truy cập vào cổng thông tin để theo dõi:
- Tình trạng lây nhiễm.
- Tổng số tiền đã thanh toán.
- Số lượng tập tin đã mã hóa.
- Thông tin chung về mục tiêu của họ.
- Email lừa đảo có URL hoặc tệp đính kèm độc hại.
- Bộ công cụ khai thác được tạo sẵn.
- Tải xuống theo ổ đĩa.
- Tệp có chứa các macro Microsoft độc hại.
Cuối cùng, người điều hành RaaS và thành viên liên kết chia sẻ khoản thanh toán chuộc từ nạn nhân. Trung bình, người điều hành nhận được khoảng 20-30% từ mỗi khoản chuộc trong khi thành viên liên kết giữ phần còn lại.
>>> Xem thêm: máy chủ dell poweredge t150
Mô hình doanh thu RaaS
Có nhiều mô hình doanh thu khác nhau mà những người vận hành RaaS dựa vào để tạo lợi nhuận. Dưới đây là những mô hình doanh thu phổ biến nhất:
- Đăng ký hàng tháng: những người vận hành cung cấp quyền truy cập vào dịch vụ RaaS với một khoản phí đăng ký cố định hàng tháng. Các thành viên liên kết trả một khoản phí hàng tháng cố định để có quyền sử dụng phần mềm bất kỳ lúc nào trong vòng 30 ngày.
- Phí cấp phép một lần: Trong mô hình này, những người vận hành RaaS yêu cầu một khoản phí một lần để trao đổi mã nguồn phần mềm của họ. Một khi thành viên liên kết thanh toán, họ có quyền truy cập vô thời hạn vào dịch vụ RaaS.
- Chương trình liên kết: những người vận hành RaaS không yêu cầu thanh toán trước để sử dụng phần mềm của họ. Thay vào đó, người điều hành nhận một tỷ lệ được xác định trước (thường nằm trong khoảng từ 20% đến 30%) từ mỗi khoản thanh toán tiền chuộc.
- Hệ thống phân cấp: Một số người vận hành RaaS sử dụng hệ thống chia sẻ lợi nhuận phân tầng dựa trên tổng số tiền chuộc hoặc số lần lây nhiễm thành công. Thành viên liên kết nào thành công hơn thì sẽ nhận được một phần lợi nhuận lớn hơn.
Công ty cổ phần thương mại Máy Chủ Hà Nội
- Trụ sở Hà Nội: Tầng 1,2,4 - Tòa nhà PmaxLand số 32 ngõ 133 Thái Hà - Q. Đống Đa
Hotline mua hàng Hà Nội: 0979 83 84 84 Điện thoai: 024 6296 6644
- CN Hồ Chí Minh: Lầu 1- Tòa nhà 666/46/29 Đường 3/2- Phường 14 - Quận 10
Hotline mua hàng Hồ Chí Minh: 0945 92 96 96 Điện thoai: 028 2244 9399
- Email: hotro@maychuhanoi.vn
- website: https://maychuhanoi.vn/
- facebook: https://www.facebook.com/maychuhanoi