The Ransomware as-a-Service (RaaS) Economy
In the RaaS economy, the service provided is the infrastructure required to perform a ransomware attack. RaaS operators maintain the ransomware malware, offer a payment portal for victims, and may provide the “customer service” that victims might need (since many ransoms are demanded in Bitcoin or other cryptocurrencies). Their affiliates are responsible for spreading the ransomware, and any ransoms paid are split between the operators and the affiliate (typically with the operator receiving 30-40%).
이 합의는 거래의 양쪽 모두에게 이점을 제공합니다. 운영자는 사내에서 달성할 수 없는 규모를 확보하고 백엔드 인프라를 유지 관리하는 데 집중할 수 있습니다. 반면에 제휴사는 랜섬웨어 및 백엔드 인프라에 대한 액세스 권한을 받고 네트워크에 침투하여 컴퓨터를 감염시키는 데 집중할 수 있습니다.
이러한 전문화 능력은 멀웨어 개발과 네트워크 침투 모두에서 달성된 사람이 거의 없기 때문에 사이버 범죄자에게 큰 이점입니다. RaaS 모델은 랜섬웨어 공격이 최근 몇 년 동안 꾸준히 증가할 수 있었던 주요 이유 중 하나입니다.
Top Known Ransomware as-a-Service Variants
랜섬웨어의 가장 큰 이름 중 다수는 주요 RaaS 운영자이기도 합니다. 가장 많고 위험한 RaaS 변형은 다음과 같습니다.
- 류크: Ryuk 랜섬웨어 는 현존하는 가장 많고 비용이 많이 드는 랜섬웨어 변종 중 하나입니다. 추정에 따르면 Ryuk는 작년 랜섬웨어 감염의 약 1/3 을 차지했습니다. 랜섬웨어는 또한 표적이 몸값을 지불하도록 설득하는 데 효과적이며 현재까지 약 1억 5천만 달러를 벌어들였습니다.
- Lockbit: Lockbit has been around since September 2019, but it has only recently entered the RaaS space. It focuses on rapidly encrypting the systems of large organizations, minimizing the defenders’ opportunity to detect and eliminate the malware before the damage is done.
- REvil/Sodinokibi: REvil competes with Ryuk as the greediest ransomware variant. This malware is spread in various ways, and REvil affiliates have been known to exploit unpatched Citrix and Pulse Secure VPNs to infect systems.
- Egregor/Maze: The Maze ransomware variant made history as the first to introduce “double extortion”, which involves stealing data as part of a ransomware attack and threatening to breach it if a ransom is not paid. While Maze has since ceased operations, related ransomware variants – like Egregor – are still operational and run under the RaaS affiliate model.
이는 RaaS 모델을 활용하는 랜섬웨어 변종 중 일부에 불과합니다. 다른 많은 랜섬웨어 그룹도 계열사와 협력합니다. 그러나 이러한 랜섬웨어 그룹의 규모와 성공은 멀웨어를 퍼뜨리기 위해 전문가를 끌어들일 수 있음을 의미합니다.
RaaS 공격으로부터 보호
랜섬웨어 공격은 계속 증가하고 있으며 RaaS는 사이버 범죄자가 멀웨어 작성자 또는 네트워크 침투 전문가로 전문화될 수 있음을 의미합니다. 조직은 중요한 파일이 암호화되기 전에 랜섬웨어 감염을 탐지하고 해결할 수 있는 엔드포인트 보안 솔루션을 배포해야 합니다.
Check Point SandBlast Agent provides comprehensive endpoint security protections. It incorporates a wide range of anti-ransomware functionality, including:
- Complete Attack Vector Coverage: Ransomware can be delivered in a number of ways, including via phishing emails, drive-by downloads, compromised user accounts, and more. SandBlast Agent provides complete protection against all potential ransomware delivery vectors.
- 행동 보호: 랜섬웨어는 파일 암호화 및 운영체제 백업 삭제를 포함한 몇 가지 핵심 동작을 기반으로 식별할 수 있습니다. SandBlast Agent는 이러한 비정상적인 동작을 모니터링하여 멀웨어가 중요한 데이터를 암호화하기 전에 감염을 종료할 수 있도록 합니다.
- 자동 수정: SandBlast Agent는 런타임 모드에서도 랜섬웨어에 대한 런타임 보호 기능을 제공합니다. 여기에는 전체 랜섬웨어 공격 체인에 대한 완전한 수정이 포함되어 멀웨어의 모든 흔적을 제거합니다.
- Secure Backup and Restore: Ransomware commonly deletes OS backups such as shadow copies of files. SandBlast Agent stores backups in memory accessible only to Check Point programs, enabling it to restore files even if OS backups are deleted.
- 위협 헌팅 지원: 위협 헌팅을 통해 보안 팀은 시스템에서 멀웨어 감염의 징후를 사전에 검색할 수 있습니다. SandBlast Agent는 중요한 데이터를 수집, 구성 및 분석하여 위협 헌팅을 보다 효율적이고 효과적으로 만듭니다.
Ransomware protection should be part of any organization’s security strategy, and SandBlast Agent provides peace of mind in the face of the ransomware threat. To learn more about SandBlast Agent and its capabilities, check out this solution brief. You’re also welcome to request a personalized demo to discuss how Check Point can help to improve your organization’s ransomware defenses.
피드백