Tietyntyyppisen haittaohjelman erityinen jakelumalli, kiristysohjelmat palveluna (RaaS), on merkittävä uhka kyberturvallisuudelle. Tämä kumppanuustyyppinen järjestelmä antaa useammille mahdollisille verkkorikollisille mahdollisuuden käynnistää hyökkäyksiä ilman tarvittavaa teknistä ja ohjelmointiosaamista, mikä lisää kiristysohjelmahyökkäysten yleistymistä.
Kun otetaan huomioon, miten vahingollisia kiristysohjelmat voivat olla, on erityisen tärkeää, että yritykset ymmärtävät RaaS:n vaikutukset kyberturvallisuuteen ja sen, miksi järjestelmien suojaaminen kiristysohjelmilta on niin tärkeää.
Kiristysohjelma palveluna ymmärtäminen
Kiristysohjelma palveluna (Ransomware as a Service, RaaS) on liiketoimintamalli, joka on erikoistunut tietyntyyppisiin haittaohjelmiin — kiristysohjelmiin — ja toimii pimeässä verkossa. Yksinkertaisimmillaan kyse on perinteisemmän ja laillisemman SaaS-mallin (Software as a Service) pahantahtoisesta kehityksestä, jota käyttävät monet suuryritykset, kuten Microsoft, Adobe, Shopify, Zoom ja Dropbox. RaaS-liiketoimintamallissa operaattorit luovat kiristysohjelman (ja usein koko ekosysteemin sen ympärille) ja tarjoavat sitä kolmansille osapuolille. Kyberrikolliset voivat "tilata" Ransomware-as-a-service (RaaS) -palvelun ilmaiseksi. Kun heistä tulee ohjelmakumppaneita, he maksavat lle palvelusta hyökkäyksen jälkeen prosenttiosuutena lunnaista.
Kyberhyökkääjät, jotka haluavat toteuttaa kiristysohjelmahyökkäyksiä, mutta joilla ei ole aikaa ja kykyä kehittää omia haittaohjelmia, voivat yksinkertaisesti valita RaaS-ratkaisun pimeästä verkosta. He saavat käyttöönsä kiristysohjelmat ja kaikki tarvittavat komponentit, kuten komento- ja hallintapaneelit (C2), rakentajat (ohjelmat, joilla voidaan luoda nopeasti ainutlaatuisia haittaohjelmanäytteitä), haittaohjelmien ja käyttöliittymien päivitykset, tuen, ohjeet ja isännöinnin. Sitten he voivat käynnistää hyökkäyksensä ilman, että heidän tarvitsee tehdä kaikkea kehitystyötä. Näin ollen pahansuovat toimijat voivat toteuttaa kehittyneen kiristysohjelmahyökkäysketjun ilman minkäänlaista tietoa tai kokemusta tällaisten haittaohjelmien kehittämisestä.
Usein kiristysohjelmia palveluna tarjoavat toimijat kehittävät kokonaisen tuotetarjonnan haittaohjelmiensa ympärille. Tämä voi sisältää monenlaisia palveluja, kuten yhteisöfoorumeita, strategisten hyökkäysten pelikirjoja ja asiakastukea. Tämä on erityisen hyödyllistä tuleville hyökkääjille, joilla ei ole kokemusta kyberhyökkäysten käynnistämisestä. RaaS-lisäpalveluihin voivat kuulua:
- Mukautustyökalut erittäin kohdennettujen hyökkäysten luomiseen
- Lisätyökalut, kuten ohjelmat datan siirtoa varten.
- Yhteisön neuvonta- ja keskustelufoorumit
- Strategisten hyökkäysten pelikirjat
- Ohjeet paneelin ja tuotteen asettamiseen
- Hyökkäyksiä koskevat käsikirjat, joissa kuvataan hyökkääjien työkalut, taktiikat ja tekniikat.
Riippumatta siitä, minkä tyyppistä kiristysohjelmaa hyökkääjä käyttää palveluna, päämäärä on aina sama: yksilön tai organisaation verkon vaarantaminen ja tietojen varastaminen tai salauksen purkaminen ja sitten kohteen saaminen maksamaan lunnaat.
Haittaohjelmien, kiristysohjelmien ja palveluna tarjottavien kiristysohjelmien välinen ero
Haittaohjelma on yleisnimitys kaikentyyppisille haitallisille ohjelmistoille, joita käytetään luvattoman pääsyn hankkimiseen tietojärjestelmään tai sähköiseen laitteeseen. Tämä voi tapahtua moniin eri tarkoituksiin, kuten tietojen varastamiseen ja järjestelmähäiriöiden aiheuttamiseen. Kiristysohjelmat ovat kuitenkin haittaohjelmia, joita käytetään tartuttamaan kohteen järjestelmä ja salaamaan tai tuhoamaan sen tiedot; kohdetta voidaan vaatia maksamaan lunnaita jottei hyökkääjä voi julkistaa tietoja tai jotta se saisi salauksen purkuavaimen tietojen palauttamiseksi, jos ne on salattu
Mitkä ovat palveluna tarjottavien kiristysohjelmien (RaaS) oikeudelliset vaikutukset?
Koska RaaS mahdollistaa tietyntyyppisen kyberrikollisuuden ja koska se toimii pimeässä verkossa, pitäisi olla täysin selvää, että koko liiketoimintamalli on laiton. Kaikenlainen osallistuminen alalle — olipa kyseessä sitten operaattori tai kumppani ("tilaaja") — on laitonta. Tähän sisältyy RaaS-palvelun tarjoaminen myyntiin, RaaS-palvelun ostaminen tarkoituksenaan suorittaa kiristysohjelmahyökkäyksiä, murtautua verkkoihin, salata tietoja tai kiristää lunnaita.
Miten kiristysohjelmat palveluna toimivat?
RaaS toimii organisatorisen hierarkian pohjalta. Portaiden huipulla on operaattori, yleensä ryhmä, joka kehittää kiristysohjelman ja tarjoaa sen myyntiin. Operaattori toimii lähinnä järjestelmänvalvojana, joka valvoo kaikkia RaaS:n liiketoimintoja, mukaan lukien infrastruktuurin ja käyttöliittymän hallinta. Usein operaattori myös käsittelee lunnasmaksut ja antaa salauksen purkuavaimen maksaville uhreille. Operaattoriryhmän sisällä voi olla pienempiä nimettyjä rooleja, kuten järjestelmänvalvojia, kehittäjiä ja testausryhmiä.
RaaS-kumppanit — "asiakkaat" — ostavat pääsyn RaaS-palveluun voidakseen käyttää operaattorin kiristysohjelmia hyökkäyksissä. He tunnistavat hyökkäysmahdollisuudet ja ottavat ne käyttöön. Kumppanin tehtävänä on tunnistaa kohteet, toteuttaa kiristysohjelma, asettaa lunnaat, hallita hyökkäyksen jälkeistä viestintää ja lähettää avaimet, kun lunnaat on maksettu.
Kasperskyn Anti-Ransomware Day 2023 -tapahtuman tuoreissa tuloksissa paljastettiin kiristysohjelmahyökkäysten tärkeimmät alkuperäiset vektorit vuonna 2022. Raportista kävi ilmi, että yli 40 % yrityksistä koki viime vuonna vähintään yhden kiristysohjelmahyökkäyksen, ja pienet ja keskisuuret yritykset maksoivat keskimäärin 6500 dollaria palautuksesta, ja suuryritykset joutuivat maksamaan 98 000 dollaria. Tutkimuksessa yksilöitiin ensisijaiset hyökkäyspisteet, kuten julkisten sovellusten hyväksikäyttö (43 %), vaarannetut käyttäjätilit (24 %) ja haitalliset sähköpostit (12 %).
Kun kiristysohjelma on ladattu järjestelmään, se yrittää poistaa päätelaitteen tietoturvaohjelmiston käytöstä, Kun hyökkääjä on saanut pääsyn järjestelmään, se voi sitten asentaa työkalut ja haittaohjelmat uudelleen, jolloin se voi liikkua verkossa ja levittää kiristysohjelman Näin he voivat liikkua verkossa ja levittää sitten kiristysohjelman. Sen jälkeen ne voivat lähettää lunnasvaatimuksen tiedostojen salauksen jälkeen. Yleensä tämä tapahtuu uhrin tietokoneelle ilmestyvän TXT-tiedoston kautta, jossa kerrotaan, että uhrin järjestelmään on murtauduttu ja että uhrin on maksettava lunnaat saadakseen salauksen purkuavaimen ja saadakseen hallinnan takaisin.
Miten kiristysohjelmalla palveluna ansaitaan rahaa?
Kyberrikolliset voivat "tilata" Ransomware-as-a-service (RaaS) -palvelun ilmaiseksi. Kun heistä tulee ohjelmakumppaneita, he maksavat palvelusta sen jälkeen, kun hyökkäys on tapahtunut. Maksun määrä määräytyy uhrin maksamien lunnaiden prosenttiosuuden mukaan, joka on yleensä 10-40 prosenttia kustakin tapahtumasta. Ohjelmaan osallistuminen ei kuitenkaan ole yksinkertainen tehtävä, sillä se edellyttää tiukkojen vaatimusten täyttämistä.
Esimerkkejä kiristysohjelmista palveluna, joista on hyvä tietää
Kyberrikolliset ovat oppineet kehittämään kiristysohjelmapalvelujaan niin, että ne pystyvät aina täyttämään RaaS-palvelua ostavien "asiakkaiden" vaatimukset. Pimeässä verkossa on saatavilla monenlaisia kiristysohjelmia palveluna (ransomware as a service, Raas), ja yleiskatsaus näihin ohjelmiin voi auttaa ymmärtämään, miten ja miksi ne ovat uhka. Seuraavassa on muutamia esimerkkejä kiristysohjelmista palveluna, jotka ovat yleistyneet viime vuosina.
- LockBit: Tämä erityinen lunnasohjelma on tunkeutunut monien organisaatioiden verkkoihin hyödyntämällä SMB:tä (Server Message Blocks) ja Microsoftin PowerShell-automaatio- ja konfiguraationhallintaohjelmaa.
- BlackCat: Koska tämä kiristysohjelma käyttää Rust-ohjelmointia, sitä on helppo mukauttaa, joten sitä voidaan käyttää useissa eri järjestelmäarkkitehtuureissa.
- Hive: Hive asettaa kohteensa huomattavan paineen alle ja pakottaa ne maksamaan lunnaat julkaisemalla julkisesti tietoja järjestelmämurrosta ja usein lähtölaskennalla siitä, milloin varastetut tiedot vuotavat.
- Dharma: Sähköpostit ovat yleisin tapa toteuttaa tietojenkalasteluhyökkäyksiä, ja tämä RaaS, joka on ollut vastuussa sadoista hyökkäyksistä, jäljittelee näitä hyökkäyksiä kohdistamalla ne uhreihin sähköpostin liitetiedostojen kautta.
- DarkSide: Ryhmän haittaohjelman uskotaan olleen vastuussa vuoden 2021 Colonial Pipeline -murrosta.
- REvil: Kenties laajimmalle levinnyt RaaS-ryhmä, tämä kiristysohjelma on ollut vastuussa vuonna 2021 tehdyistä hyökkäyksistä Kaseyaan, jotka koskettivat noin 1500 organisaatiota, ja CAN Financialiin.
10 vinkkiä laitteiden suojaamiseen kiristysohjelmilta
Kiristysohjelmat ovat vain yksi lukuisista uhkista, joista ihmisten on oltava tietoisia verkossa, ja joista toipuminen voi olla haastavaa ja kallista. Vaikka näitä uhkia on mahdotonta neutralisoida kokonaan, on olemassa lukuisia toimenpiteitä ja parhaita käytäntöjä, joilla voidaan parantaa kyberturvallisuutta RaaS:ää vastaan — ja itse asiassa lieventää monia digitaalisia hyökkäyksiä. Tässä on 10 vinkkiä elektronisten laitteiden suojaamiseen kiristysohjelmilta:
- Varmuuskopioi tiedot säännöllisesti erilliselle laitteelle — luo tarvittaessa useita varmuuskopioita. Organisaatioilla tulee myös olla käytössä tietojen palautussuunnitelma hyökkäyksen varalta.
- Käytä vankkaa päätelaitteiden suojausohjelmistoa, joka skannaa ja poistaa mahdolliset uhat säännöllisesti.
- Varmista, että kaikki ohjelmistot ovat ajan tasalla ja että niissä on uusimmat suojauspäivitykset.
- Ota mahdollisuuksien mukaan käyttöön moniosainen tai biometrinen todennus.
- Muista salasanahygienia — käytä luotettavaa salasanahallintaohjelmaa luodaksesi ja tallentaaksesi vahvoja salasanoja ja luodaksesi eri käyttäjätunnuksia eri tileille.
- Ota käyttöön vahva sähköpostin skannausohjelmisto haitallisten sähköpostiviestien ja mahdollisten tietojenkalasteluhyökkäysten havaitsemiseksi.
- Kehitä ja ylläpidä vankkaa kyberturvallisuuskäytäntöä: Kiinnitä huomiota ympäristön ulkopuolelle ja luo kattava kyberturvallisuuskäytäntö, joka kattaa koko organisaation. Tässä käytännössä tulee käsitellä etäkäyttöä, kolmannen osapuolen toimittajia ja työntekijöitä koskevia turvallisuusprotokollia.
- Koska varastettuja tunnistetietoja saatetaan tarjota myyntiin pimeässä verkossa, käytä Kaspersky Digital Footprint Intelligence -palvelua varjoresurssien seurantaan ja niihin liittyvien uhkien nopeaan tunnistamiseen
- Käytä vähimmän etuoikeuden periaatetta minimoidaksesi hallinto- tai järjestelmäoikeudet mahdollisimman harvoille henkilöille.
- Toteuta tietoturvatietoisuuskoulutus, joka kattaa RaaS-kyberturvallisuuden ja muut mahdolliset uhat.
- Vältä sähköpostilinkkien napsauttamista, ellei lähde ole tunnettu ja luotettava — jos olet epävarma, kirjoita verkkosivusto selaimen hakupalkkiin ja siirry sivulle manuaalisesti.
Tiukimmillakaan suojaustoimenpiteillä ei tietenkään aina voida estää kiristysohjelmahyökkäystä. Kun pahin tapahtuu, on vielä muutama vaihtoehto lieventää näiden hyökkäysten seurauksia.
Palveluna tarjottavien kiristysohjelmien jatkuva uhka
Kiristysohjelmat ovat jo itsessään kyberturvallisuusongelma. Mutta kiristysohjelmat palveluna -liiketoimintamalli on tehnyt tästä haittaohjelmasta paljon suuremman uhan antamalla useammille potentiaalisille kyberrikollisille mahdollisuuden käynnistää tällaisia hyökkäyksiä ilman erityistä asiantuntemusta tai tietoa. Koska näillä hyökkäyksillä voi olla niin vakavia taloudellisia seurauksia kohteeksi joutuneille organisaatioille tai yksityishenkilöille, on tärkeää ymmärtää erilaiset menetelmät järjestelmien suojaamiseksi kiristysohjelmahyökkäyksiltä. Monet näistä ovat kyberturvallisuuden parhaita peruskäytäntöjä, mutta organisaatioiden kannattaa harkita lisätoimia, kuten turvallisuuskoulutusta ja erilaisten järjestelmien säännöllistä varmuuskopiointia.
Hanki Kaspersky Premium + 1 VUODEN MAKSUTON Kaspersky Safe Kids. Kaspersky Premium sai viisi AV-TEST-palkintoa parhaasta suojauksesta, parhaasta suorituskyvystä, nopeimmasta VPN:stä, hyväksytyistä lapsilukoista Windowsille ja parhaista lapsilukoista Androidille.
Aiheeseen liittyviä artikkeleita ja linkkejä:
Tunnetuimmat kiristysohjelmahyökkäykset
Aiheeseen liittyvät tuotteet ja palvelut: