Ransomware as a Service czyli ewolucja modelu cyberprzestępców

Definicja Ransomware as a Service (RaaS)

Ransomware as a Service (RaaS) to model działalności, który umożliwia cyberatakującym korzystanie z gotowego oprogramowania ransomware bez konieczności posiadania zaawansowanych umiejętności technicznych. Autorzy ransomware projektują złośliwe oprogramowanie, które następnie udostępniają tzw. afiliantom – osobom lub grupom planującym przeprowadzenie ataków.

Afilianci płacą za dostęp do oprogramowania i mogą prowadzić ataki, często za pośrednictwem specjalnych paneli administracyjnych. Ten model znacząco obniża próg wejścia do świata cyberprzestępczości, umożliwiając osobom bez wiedzy technicznej przeprowadzanie wysoce skutecznych ataków.

Jak działa model biznesowy RaaS?

RaaS funkcjonuje na zasadzie współpracy pomiędzy twórcami oprogramowania, a afiliantami. Deweloperzy oferują różne modele płatności: od miesięcznych subskrypcji, przez opłaty jednorazowe, po systemy podziału zysków. Niektórzy operatorzy udostępniają rozbudowane portale, gdzie afilianci mogą monitorować sumy okupu oraz inne dane związane z ich atakami.

Tak przykładowo może wyglądać korzystanie z RaaS: afiliant zakłada konto w portalu RaaS, płaci – najczęściej kryptowalutą – wybiera typ ransomware i przesyła szczegóły ataku. Operatorzy RaaS inwestują znaczące kwoty w marketing i rekrutację, a ich strony przypominają profesjonalne witryny legalnych firm. Wybrane grupy są w stanie zainwestować miliony dolarów w działania rekrutacyjne, aby przyciągnąć afiliantów. Niektórzy dostawcy oferują m.in. dodatkowe usługi uwzględniające sugestie dotyczące potencjalnych celów ataku.

Wybrane grupy RaaS

W ostatnich latach wiele grup przestępczych zyskało rozgłos dzięki korzystaniu z modelu RaaS. Przykłady znanych grup ransomware to:

• DarkSide to grupa ransomware, która zyskała globalną rozpoznawalność po głośnym ataku na Colonial Pipeline w 2021 roku, co doprowadziło do zakłóceń w dostawach paliw. Po zapłaceniu prawie 5 milionów dolarów okupu przez Colonial Pipeline grupa zniknęła z sieci.
• Hive to grupa ransomware, która w latach 2021–2022 atakowała głównie sektor opieki zdrowotnej, szkolnictwa i administracji publicznej. W 2022 roku zorganizowali masowy atak na klientów Microsoft Exchange Server, wykorzystując znane luki w zabezpieczeniach. Ich działania doprowadziły do poważnych zakłóceń w funkcjonowaniu zaatakowanych instytucji. W 2023 roku FBI przejęło infrastrukturę Hive.
• Rhysida to grupa RaaS, która specjalizuje się w atakach na duże organizacje, ze szczególnym uwzględnieniem sektora publicznego oraz ochrony zdrowia. Działa głównie na terenie USA, Wielkiej Brytanii i Chile. W swoich kampaniach stosuje technikę eksfiltracji danych przed ich zaszyfrowaniem, grożąc ich ujawnieniem w przypadku odmowy zapłaty okupu.
• LockBit to jedna z najbardziej znanych i najaktywniejszych grup ransomware-as-a-service, która od lat prowadzi zorganizowane kampanie wymierzone w tysiące organizacji na całym świecie. Grupa działała w modelu podziału zysków z afiliantami, oferując im łatwy w obsłudze panel zarządzania atakami i skuteczne narzędzia szyfrujące. LockBit znana była z brutalnej taktyki podwójnego szantażu – szyfrowania danych i grożenia ich publikacją. W 2024 roku grupa została częściowo rozbita przez międzynarodową koalicję organów ścigania.
• LAPSUS$ nie stosuje klasycznego ransomware, lecz koncentruje się na czystym wymuszeniu – kradzieży danych i groźbie ich ujawnienia. Ich ofiary to największe światowe firmy technologiczne, takie jak Microsoft, NVIDIA, Samsung czy Ubisoft. Grupa słynie z odważnych i medialnych działań, a także z rekrutowania członków przez Telegram i fora społecznościowe.
• Conti to była znacząca grupa RaaS, funkcjonująca jak korporacja z własnymi działami HR, finansów i IT. Odpowiedzialna za setki ataków, głównie na sektor zdrowia, edukacji i administracji publicznej. Po wybuchu wojny na Ukrainie i oficjalnym poparciu Rosji przez Conti, doszło do wycieku wewnętrznych danych grupy i jej stopniowego rozpadu.
• BlackCat, znana też jako ALPHV, to zaawansowana grupa RaaS, która jako jedna z pierwszych wykorzystała język Rust do pisania ransomware. Grupa stosuje wyrafinowane techniki ataków, takie jak malvertising, SEO poisoning i eksfiltracja danych. Często atakuje firmy z sektorów przemysłu, finansów i technologii.
• Clop to grupa cyberprzestępcza, która zasłynęła z ataków wykorzystujących luki w oprogramowaniu do eksfiltracji danych – często bez ich szyfrowania. Grupa stała się znana dzięki atakom na MOVEit Transfer, BBC, British Airways czy Ernst & Young. Stosuje głównie phishing oraz exploity do uzyskiwania dostępu do systemów.

Jak chronić się przed atakami RaaS?

Choć RaaS różni się pod względem modelu dystrybucji, środki zapobiegawcze są podobne jak w przypadku klasycznego ransomware:

• Regularnie wykonuj kopie zapasowe – częste i przechowywane w różnych lokalizacjach. Testuj je, aby upewnić się, że można je odtworzyć.
• Korzystaj z nowoczesnych systemów ochrony punktów końcowych.
• Monitoruj aktywność sieciową, aktualizuj oprogramowanie i edukuj pracowników w zakresie rozpoznawania zagrożeń.