Overslaan naar hoofdinhoud

Wat is ransomware-as-a-service?

Een laptop geeft een aanval weer van ransomware-as-a-service.

Ransomware-as-a-service (Raas) is een specifiek distributiemodel voor een bepaald type malware en vormt een aanzienlijke bedreiging voor de cyberbeveiliging. Deze methode geeft meer potentiële cybercriminelen de mogelijkheid om aanvallen uit te voeren zonder de nodige technische vaardigheden en programmeerkennis, waardoor ransomware-aanvallen vaker voorkomen.

Als we zien hoe schadelijk ransomware kan zijn, is het vooral belangrijk voor bedrijven om de RaaS-implicaties voor cyberbeveiliging te begrijpen en waarom het zo belangrijk is om systemen te bescherme tegen ransomware.

Ransomware-as-a-service begrijpen

Ransomware as a Service (RaaS) is een bedrijfsmodel dat gespecialiseerd is in een bepaald type malware (ransomware) en dat actief is op het dark web. In de eenvoudigste bewoordingen is het een kwaadaardige evolutie van het meer traditionele en legale Software-as-a-Service (SaaS)-model, dat wordt gebruikt door veel grote bedrijven, waaronder Microsoft, Adobe, Shopify, Zoom en Dropbox. In het RaaS-bedrijfsmodel creëren operators de ransomware (en vaak een heel ecosysteem daarrond) en bieden deze aan derden aan. Cybercriminelen kunnen zich gratis "abonneren" op Ransomware-as-a-service (RaaS). Zodra ze partners in het programma worden, betalen ze voor de service nadat de aanval heeft plaatsgevonden in de vorm van een percentage van het losgeld.

Cyberaanvallers die ransomware-aanvallen willen uitvoeren, maar die de tijd of het vermogen niet hebben om hun eigen malware te ontwikkelen, kunnen eenvoudig een RaaS-oplossing kiezen op het dark web. Ze krijgen toegang tot de ransomware en alle benodigde componenten, zoals command-and-control (C2)-panelen, builders (programma's voor het maken van unieke malware-samples), malware- en interface-upgrades, ondersteuning, instructies en hosting. Vervolgens kunnen ze hun aanval lanceren, zonder al het nodige ontwikkelingswerk. Zo kunnen kwaadwillenden een geavanceerde reeks ransomware-aanvallen uitvoeren zonder enige kennis of ervaring met het ontwikkelen van dit soort malware.

Operators die ransomware-as-a-service aanbieden, ontwikkelen vaak een volledig productaanbod rond hun malware. Dit kan een breed scala aan diensten omvatten, zoals communityforums, draaiboeken voor strategische aanvallen en klantenondersteuning. Dit is vooral handig voor potentiële aanvallers die geen ervaring hebben met het lanceren van cyberaanvallen. De RaaS-diensten kunnen de volgende aanvullende services bieden:

  • Aanpassingstools om zeer gerichte aanvallen uit te voeren
  • Aanvullende tools, zoals programma's voor data-exfiltratie
  • Communityforums voor advies en discussie
  • Draaiboeken voor strategische aanvallen
  • Instructies voor het instellen van het paneel en het product
  • Handleidingen over aanvallen met een beschrijving van de tools, tactieken en technieken voor aanvallers.

Welk type ransomware-as-a-service de aanvaller ook kiest om te gebruiken, het einddoel is altijd hetzelfde: het netwerk van een persoon of organisatie compromitteren en gegevens stelen of ontsleutelen, en vervolgens het doelwit losgeld laten betalen.

Het verschil tussen malware, ransomware en ransomware-as-a-service

Malware is een algemene term voor elk type kwaadaardige software dat wordt gebruikt om ongeoorloofde toegang te krijgen tot een IT-systeem of elektronisch apparaat. Dit kan voor verschillende doeleinden zijn, waaronder bijvoorbeeld het stelen van gegevens en het verstoren van systemen. Ransomware is echter malware die wordt gebruikt om het systeem van een doelwit te infecteren en de gegevens ervan te versleutelen of te vernietigen. Het doelwit kan worden gevraagd om losgeld te betalen (vandaar de naam) om te voorkomen dat de aanvaller de informatie openbaar maakt, of om een decoderingssleutel te ontvangen om de gegevens te herstellen als deze versleuteld zijn

Wat zijn de juridische implicaties van ransomware-as-a-service? (Raas)?

Aangezien RaaS een bepaald type cybercriminaliteit mogelijk maakt en het op het dark web werkt, zou het overduidelijk moeten zijn dat het hele bedrijfsmodel illegaal is. Elke vorm van betrokkenheid hierbij, of het nu gaat om een operator of een "abonnee", is onwettig. Dit bekent ook het beschikbaar stellen van RaaS voor verkoop, het kopen van een RaaS met de intentie om ransomware-aanvallen uit te voeren, netwerken te doorbreken, gegevens te versleutelen of losgeld af te persen.

Hoe werkt ransomware-as-a-service?

RaaS werkt volgens een hiërarchie. Bovenaan de ladder staat de operator, meestal een groep die de ransomware ontwikkelt en te koop aanbiedt. De operator treedt in wezen op als beheerder en houdt toezicht op alle aspecten van de bedrijfsvoering van de RaaS, inclusief het beheer van de infrastructuur en de gebruikersinterface. Vaak handelt de operator ook het losgeld af en verstrekt de decoderingssleutel aan de slachtoffers. Binnen de operatorgroep kunnen er kleinere rollen zijn, waaronder beheerders, ontwikkelaars en testteams.

RaaS-kopers zijn de "klanten" die toegang kopen tot de RaaS om de ransomware van de operator te gebruiken bij aanvallen. Zij zoeken de aanvalsmogelijkheden en zetten deze in. De rol van de koper is om doelen te identificeren, de ransomware uit te voeren, het losgeld in te stellen, de communicatie na de aanval te beheren en decoderingssleutels te verzenden wanneer het losgeld is betaald.

In de meest recente bevindingen van Kaspersky voor Anti-Ransomware Day 2023 werden de belangrijkste eerste vectoren van ransomware-aanvallen in 2022 onthuld. Uit het rapport bleek dat meer dan 40% van de bedrijven vorig jaar ten minste één ransomware-aanval had meegemaakt, waarbij kleine en middelgrote bedrijven gemiddeld $ 6500 betalen voor herstel en bedrijven betaalden zelfs het aanzienlijke bedrag van $ 98.000. Het onderzoek identificeerde de belangrijkste toegangspunten voor aanvallen, waaronder de exploitatie van openbare apps (43%), gehackte gebruikersaccounts (24%) en kwaadaardige e-mails (12%).

Zodra de ransomware op het systeem is gedownload, probeert het endpoint-beveiligingssoftware uit te schakelen. Zodra de aanvaller toegang heeft, kunnen ze tools en malware opnieuw installeren. Op deze manier betreden ze het netwerk en rollen ze vervolgens de ransomware uit. Op deze manier kunnen ze door het netwerk navigeren en de ransomware implementeren. Ze kunnen dan een losgeldbrief sturen na het versleutelen van bestanden. Over het algemeen wordt dit gedaan via een TXT-bestand dat op de computer van het slachtoffer verschijnt, dat hen instrueert dat hun systeem is geschonden en dat ze losgeld moeten betalen om een sleutel te ontvangen om de gegevens vrij te geven.

Hoe wordt er geld verdient met ransomware-as-a-service?

Cybercriminelen kunnen zich gratis "abonneren" op Ransomware-as-a-service (RaaS). Zodra ze partners in het programma worden, betalen ze voor de service nadat de aanval heeft plaatsgevonden. Het bedrag wordt bepaald door een percentage van het losgeld dat door het slachtoffer wordt betaald, meestal varieert dit tussen 10 procent tot 40 procent van elke transactie. Het is echter niet eenvoudig om aan het programma deel te nemen, omdat aan strenge eisen moet worden voldaan.

Voorbeelden van ransomware-as-a-service die je moet kennen

Cybercriminelen zijn bedreven geworden in het ontwikkelen van hun ransomware-services, zodat ze altijd kunnen voldoen aan de eisen van de "klanten" die RaaS kopen. Er bestaat een grote verscheidenheid aan ransomware-as-a-service (Raas)-programma's op het dark web en een overzicht hiervan kan nuttig zijn om te begrijpen hoe en waarom ze een risico vormen. Hier zijn een paar voorbeelden van ransomware-as-a-service die de afgelopen jaren algemeen werden verspreid.

  • LockBit: Deze specifieke ransomware heeft de netwerken van veel organisaties geschonden door misbruik te maken van Server Message Blocks (SMB) en het PowerShell-automatiserings- en configuratiebeheerprogramma van Microsoft.
  • BlackCat: Door gebruik te maken van Rust-programmering is deze ransomware eenvoudig aan te passen en kan daarom worden ingezet tegen tal van systeemarchitecturen.
  • Hive: Dit een bijzonder nefaste RaaS. Het zet doelwitten onder aanzienlijke druk en dwingt losgeld te betalen door details van de systeeminbreuk openbaar te maken en vaak af te tellen tot het moment waarop de gestolen informatie zal worden gelekt.
  • Dharma: E-mails zijn de meest gebruikelijke methode voor het uitvoeren van phishing-aanvallen, en deze RaaS, die verantwoordelijk is geweest voor honderden aanvallen, bootst deze aanvallen na door zich op slachtoffers te richten via e-mailbijlagen.
  • DarkSide: De malware van deze ransomwaregroep wordt verondersteld verantwoordelijk te zijn geweest voor de inbreuk op de Colonial Pipeline in 2021.
  • REvil: Deze ransomware, misschien wel de meest doordringende RaaS-groep, is verantwoordelijk geweest voor de aanvallen in 2021 op Kaseya, die zo'n 1.500 organisaties troffen, en CAN Financial.

10 tips om apparaten te beschermen tegen ransomware

Ransomware is slechts een van de vele risico waarvan mensen op de hoogte moeten zijn terwijl ze online zijn, en een die een uitdaging - en duur - kan zijn om van te herstellen. Hoewel het onmogelijk is om deze risico's volledig te neutraliseren, bestaan er veel maatregelen en gewoontes die je bescherming tegen RaaS kunnen verbeteren, en zelfs veel digitale aanvallen kunnen beperken. Hier zijn 10 tips om elektronische apparaten te beschermen tegen ransomware:

  1. Maak regelmatig een back-up van gegevens op een apart apparaat en maak indien nodig meerdere back-ups. Organisaties moeten ook een gegevensherstelplan hebben in geval van een aanval.
  2. Gebruik robuuste endpoint protection software die potentiële bedreigingen regelmatig scant en verwijdert.
  3. Zorg ervoor dat alle software up-to-date blijft en dat de laatste beveiligingspatches geïnstalleerd zijn.
  4. Schakel waar mogelijk multifactor- of biometrische authenticatie in.
  5. Zorg voor een goede wachtwoordstrategie: gebruik een betrouwbare wachtwoordbeheerder om sterke wachtwoorden te genereren en op te slaan, en maak verschillende inloggegevens voor verschillende accounts.
  6. Implementeer krachtige software om te scannen op kwaadaardige e-mails en mogelijke phishing-aanvallen.
  7. Ontwikkel en onderhoud een robuust cyberbeveiligingsbeleid: besteed aandacht aan de buitenste perimeter en creëer een uitgebreid cyberbeveiligingsbeleid voor de hele organisatie. Dit beleid moet betrekking hebben op beveiligingsprotocollen voor externe toegang, externe leveranciers en werknemers.
  8. Aangezien de gestolen inloggegevens te koop kunnen worden aangeboden op het dark web, kun je Kaspersky Digital Footprint Intelligence gebruiken om schaduwbronnen te bewaken en gerelateerde bedreigingen onmiddellijk te identificeren
  9. Geef medewerkers alleen de machtigingen die ze nodig hebben om toegang tot systemen te beperken tot zo weinig mogelijk mensen.
  10. Zorg voor training over veiligheidsbewustzijn waarin RaaS, cyberbeveiliging en andere potentiële bedreigingen worden behandeld.
  11. Klik niet op e-maillinks, tenzij de bron bekend en vertrouwd is, typ in geval van twijfel de website in de zoekbalk van de browser en navigeer handmatig naar de pagina.

Natuurlijk zullen zelfs meest strikte beschermingsmaatregelen een ransomware-aanval niet altijd voorkomen. Als het ergste gebeurt, zijn er nog altijd een paar opties om de gevolgen van deze aanvallen te beperken.

De onophoudelijke dreiging van ransomware-as-a-service

Ransomware is een cyberbeveiligingsprobleem op zich. Het ransomware-as-a-service-bedrijfsmodel heeft van deze specifieke malware een veel groter risico gemaakt door meer potentiële cybercriminelen de mogelijkheid te geven deze aanvallen uit te voeren zonder enige specifieke expertise of kennis. Deze aanvallen kunnen zo een grote financiële gevolgen hebben voor de mensen of organisaties die er het doelwit van zijn, dat het belangrijk is om de verschillende methoden te begrijpen die systemen kunnen beschermen tegen ransomware-aanvallen. Veel hiervan zijn basisgewoontes op het gebied van cyberbeveiliging, maar organisaties kunnen verdere inspanningen overwegen, zoals beveiligingstraining en regelmatige back-up van alle verschillende systemen.

KoopKaspersky Premium + 1 JAAR GRATIS Kaspersky Safe Kids. Kaspersky Premium ontving vijf AV-TEST-awards voor beste bescherming, beste prestaties, snelste VPN, goedgekeurd ouderlijk toezicht voor Windows en beste beoordeling voor ouderlijk toezicht voor Android.

Gerelateerde artikels en links:

Belangrijkste ransomware-aanvallen

De grootste ransomwaredreigingen

Gerelateerde producten en diensten:

Kaspersky Standard

Kaspersky Premium

Kaspersky Endpoint Security Cloud

Kaspersky VPN Secure Connection

Wat is ransomware-as-a-service?

Ransomware-as-a-service heeft van deze specifieke malware een groter risico voor cyberbeveiliging gemaakt. Dit is alles wat je moet weten.
Kaspersky logo

Gerelateerde artikelen