RaaS: вид вредоносного ПО и бизнес-модель его распространения

Ransomware-as-a-Service (RaaS, программа-вымогатель как услуга) – это модель дистрибуции профильного вредоносного ПО, включающая в себя все этапы: от разработки до розничной реализации через Darknet и другие каналы продаж.

Шифровальщики, которые используются в RaaS, способны полностью парализовать работу компании, если злоумышленник смог «дойти» до чувствительных данных и закодировать их. В случае с высококачественными программами-вымогателями, процесс дешифровки силами компании сильно затруднен, и для разблокировки ресурсов с высокой долей вероятности придется согласиться на требования злоумышленника.

В этой статье мы разберем как бизнес-модель RaaS, ее сходства и отличия от легальных систем, так и специфику программ-вымогателей с позиции информационной безопасности.

RaaS с позиции информационной безопасности

Программа-вымогатель – это сложный программный продукт. Чем более сложные методы шифрования в нем используются – тем сложнее провести дешифровку, и тем выше вероятность того, что:

• придется заплатить вымогателю;
• либо проститься с зашифрованными данными.

Возможность практически беспрепятственного распространения такого класса вредоносов « по лекалам» легального рынка создает все условия для его распространения. Злоумышленнику достаточно найти нужную сумму, зайти в Даркнет и провести платеж – никаких избыточных знаний для этого не нужно.

Распространять такое ПО в дальнейшем можно как через эксплуатацию уязвимостей, так и методами социальной инженерии. Это серьезно снижает требования к квалификации хакера. Об этом говорит и рост числа атак с помощью шифровальщиков еще с марта 2020 года.

Сергей Белов

СЕО, компания AtreIdea

Создать программу-вымогатель с базовой функциональностью, без оглядки на возможный дополнительный функционал и оптимизации (например, в области скорости шифрования, обхода антивирусных средств и т.п.), займет не более 1-2 недель. Создание же качественного продукта, по меркам индустрии, может занимать до года. Дополнительного времени может потребовать создание сетевой инфраструктуры, если продукт предполагается использовать в рамках RaaS.

Разработка качественных комплексных продуктов в отрасли киберпреступлений зачастую построена по лучшим канонам промышленной разработки, в том числе потому, что в разработке одного продукта может быть задействовано множество людей, отвечающих за разные части продукта, и включать, в себя даже тестировщиков и менеджеров проектов.

Возможность дешифровки напрямую зависит от качества реализации программы-вымогателя с точки зрения стойкости использованных алгоритмов шифрования и корректности их применения. Ряд подобных программ в период становления отрасли был написан условно "на коленке", что привело к появлению ряда некачественных решений. Некоторые такие решения использовали заведомо слабые подходы, например, XOR содержимого файла по статичному ключу или даже не шифровали содержимое, а заменяли несколько символов в начале файла, что приводило к тому, что он переставал открываться стандартной программой, предназначенной для его просмотра, но ценное содержимое фактически не терялось. Многие крупные антивирусные компании ведут учет программ-вымогателей, результат работы которых поддается дешифровке, и публикуют у себя готовые инструменты для автоматической дешифровки затронутых файлов. Также в дешифровке может помочь поиск по форумам поддержки производителей антивирусов, где нередко помогают с идентификацией конкретных программ-вымогателей и делятся информацией о том, возможно ли расшифровать зашифрованные файлы.

Рост RaaS-аудитории в этой сфере влечет за собой и рост адаптивности продукта. Это выражается в адаптации интерфейса, создании гайдов, технической поддержки и массы других атрибутов развивающегося, растущего продукта.

При этом самым надежным способом защиты от программ-вымогателей остается систематическое создание резервных копий. Пренебрежение этой процедурой может привести к колоссальным потерям. Например, уже в первой половине 2021 года средний доход вымогателей составил 5,3 млн. долларов.

RaaS как бизнес-модель распространения ПО

Первое, о чем стоит сказать – это разность подходов к монетизации. Наибольшей популярностью пользуются:

1. Разовая оплата. В большей степени характерен для простых инструментов. Например, таким способом продают ПО Dharma.
2. Работа по подписке. В актуальной ситуации с платежными системами оплатить себе программу-вымогатель немногим сложнее, чем подписку Netflix.
3. Партнерская программа. Доход с успешного вымогательства распределяется между непосредственно злоумышленником, разработчиком ПО и другими аффилированными лицами в определенном процентном соотношении. По такой схеме торгуется Egregor.

Есть и специфичные технологии дистрибуции, например Revil SaaS, который поставляется эксклюзивно. Для участия в партнерской программе нужно доказать свою «профессиональную пригодность», иметь достаточный, подтвержденный опыт взлома.

Антон Кузьмин

руководитель Центра предотвращения киберугроз CyberART, ГК Innostage

Одной из популярных Raas-моделей продаж является модель, когда разработчик программы-вымогателя забирает себе небольшой процент от выкупа жертвы, а большая часть средств достается атакующему, поэтому темпы роста и тенденции роста этого рынка напрямую зависят от множества факторов. В первую очередь, от использования самого ВПО, ведь чем проще его использовать и чем оно сложнее в обнаружении, тем больше получает разработчик дисконта.

Поэтому, как и любая услуга, RAAS сопровождается классическими вендорскими форумами и чатами, отвечающими на вопросы F.A.Q., инструкциями, технической поддержкой и обновлениями.

Второй аспект программ-вымогателей в контексте бизнеса – это возможности для рекламы и размещения. Здесь возможности гораздо уже, чем у легальных программных продуктов. Важно отметить тот факт, что даже в Даркнете далеко не все площадки готовы размещать рекламу вредоносов.

Итоги

RaaS решает две главные бизнес-задачи:

1. Снижает порог вхождения и открывает доступ к новым клиентам.
2. Позволяет зарабатывать всем: и разработчикам, и покупателям.

И заработок всех задействованных в дистрибуции программ-вымогателей только растет. Как минимум – последние два года. Это значит, что в будущем вопрос защиты от программ-шифровальщиков будет становиться только актуальнее, по мере увеличения количества атак с использованием этого класса вредоносов.

Согласно прогнозу Gartner, переговоры между шифровальщиками и бизнесом будут стандартизированы государством уже к 2025 году. В то же время, ведущими методами защиты для большинства компаний остаются актуализация данных о социальной инженерии у сотрудников и создание резервных копий данных.