.
O negócio é muito bom para os afiliados do grupo Qilin ransomware-as-a-service (RaaS), o que é muito ruim para o resto de nós.
Pesquisadores da empresa de segurança cibernética Group-IB se infiltraram na gangue Qilin em março e esta semana analisaram suas operações em um relatório que detalhou seu funcionamento interno e o modelo econômico que o mantém em atividade.
Esse modelo reflete os de outros grupos RaaS e ilustra por que retardar o flagelo do ransomware é tão difícil – afiliados que ajudam a espalhar o código maligno ganham muito dinheiro.
De acordo com o relatório do Group-IB, os afiliados da Qilin – aqueles que pagam para usar o ransomware da Qilin para seus próprios ataques – podem levar para casa 80% do resgate pago (se o resgate pago for de US$ 3 milhões ou menos). Para resgates acima de US$ 3 milhões, o corte de um afiliado pode subir para 85%.
Os operadores RaaS fornecem um portal que inclui um painel, blogs e um FAQ
Essa é uma boa recompensa para criminosos que não precisam desenvolver seu próprio ransomware e podem se concentrar em encontrar vítimas. Também explica por que o ransomware e o RaaS permanecem predominantes.
“A mecânica financeira do ransomware como serviço revela uma verdade assustadora sobre o ambiente de perigo digital de hoje”, disse Craig Jones, vice-presidente de operações de segurança do provedor gerenciado de detecção e resposta Ontinue. Strong The One. “Margens de lucro surpreendentemente altas, simbolizadas pelos 80 a 85% de participação embolsada pelas afiliadas da Qilin, geram um próspero submundo do cibercrime, explorando os pontos fracos das empresas globais.”
O dinheiro vai continuar fluindo
A indústria deve esperar que esses altos pagamentos continuem, de acordo com Heath Renfrow, cofundador do serviço de recuperação e restauração de desastres Fenix24.
“Estamos vendo atores afiliados RaaS recebendo parcelas mais altas dos resgates do que anteriormente”, disse Renfrow Strong The One, observando que hoje em dia, o corte alto para afiliados Qilin não é incomum. “As afiliadas do ransomware BlackCat também supostamente estão ganhando de 80 a 90 por cento da receita, contra 65 a 75 por cento das afiliadas nos anos anteriores”.
O RaaS entrou em cena há vários anos e impulsionou a florescente cena do ransomware. Um relatório anterior do Group-IB descobriu que, em 2020, quase dois terços dos ataques de ransomware analisados envolviam organizações com modelos RaaS.
As afiliadas que lançam ransomware geralmente são grandes organizações com mais de 100 funcionários, entre eles desenvolvedores, gerentes, negociadores e outros funcionários. Algumas afiliadas estão entre os grupos de ameaças mais notórios do mundo, como LockBit, Gato preto, colmeiae BlackBasta, de acordo com Malwarebytes.
As operações afiliadas dos desenvolvedores de ransomware se assemelham a modelos legítimos de SaaS. As organizações vendem ou alugam seus kits RaaS para afiliados que os utilizam para realizar seus próprios ataques. Os grupos RaaS também oferecem outros serviços, como suporte, ofertas agrupadas, análises e fóruns, escreveu CrowdStrike em um relatório.
As afiliadas são responsáveis por obter acesso às organizações-alvo e executar os ataques. Eles pagam de dezenas a milhares de dólares pelos kits RaaS, o que é um bom negócio, visto que a demanda média de resgate em 2021 foi de US$ 6 milhões, de acordo com a CrowdStrike.
Vários modelos de receita
Os modelos de receita RaaS incluem assinaturas mensais de taxa fixa, taxas de licença únicas sem participação nos lucros ou participação pura nos lucros.
Para afiliados, o modelo RaaS diminui a barreira de entrada, permitindo que jogadores com pouca experiência em codificação implantem o malware. Matthew Psencik, diretor de segurança de terminais da fornecedora de gerenciamento de terminais convergentes Tanium, disse Strong The One que alguns afiliados pagam apenas US$ 40 por mês para acessar o código de ataque.
Embora os operadores de RaaS possam encontrar seus próprios alvos e manter todo o resgate, suas afiliadas oferecem uma cobertura útil, disse Renfrow, da Fenix24.
“É difícil atribuir a atividade [of an affiliate] a um país de origem específico, por isso é igualmente difícil colocar essa atividade em uma lista de proibição de ‘não pagar’”, disse ele. “Ao oferecer cortes mais altos da torta, esses [RaaS] as organizações podem evitar as proibições de pagamento e inspirar mais criminosos a iniciar novos afiliados, aumentando os lucros gerais.”
Qilin dá uma visão do mundo RaaS
O relatório do Group-IB sobre Qilin – também conhecido como Agenda – explica que o grupo opera desde pelo menos agosto de 2022. Inicialmente preferia codificar em Go, mas recentemente adotou a linguagem de programação Rust.
A ferrugem é cada vez mais popular entre os cibercriminosos porque é mais difícil de analisar e detectar e é mais fácil de personalizar para determinados sistemas operacionais.
Como muitos grupos, Qilin usa dupla extorsão criptografando os dados da vítima e roubando-os, exigindo pagamento por um descriptografador e não vazando os dados. Os esquemas de phishing são o ponto de entrada usual do grupo, permitindo que seus agentes se movam lateralmente pelas redes de vítimas em busca de dados.
O grupo anuncia seu malware na dark web e tem seu próprio site de vazamento dedicado que inclui IDs de empresas e detalhes de contas vazadas, de acordo com os pesquisadores do Group-IB.
Os afiliados que usam esse portal veem um painel administrativo para gerenciar ataques que inclui um painel para tudo, desde alvos a pagamentos até alteração de senhas, bem como blogs e perguntas frequentes.
Como desacelerar ataques de ransomware?
Especialistas em segurança cibernética e governos de todo o mundo estão usando várias táticas para reduzir o número de ataques de ransomware, desde melhorar a segurança até cortar o dinheiro.
Os EUA, juntamente com outros países, são supostamente debatendo se deve proibir completamente os pagamentos de resgate na esperança de sufocar os lucros dos operadores. Atualmente, os EUA desaconselham o pagamento de resgates.
No entanto, a ideia de uma proibição levanta preocupações de que aqueles que são vítimas de ransomware não denunciem sua situação às autoridades para evitar punições se decidirem pagar a taxa de extorsão.
Enquanto isso, os ataques de ransomware continuarão, com o mercado RaaS, o número crescente de programas afiliados e a publicação de dados roubados em sites de vazamento como uma ameaça sendo os principais impulsionadores, escreveram os pesquisadores do Group-IB.
“Além disso, os tipos de ransomware estão se proliferando mais rapidamente do que as melhorias nas defesas cibernéticas para detectá-los e contê-los, tornando as organizações despreparadas para enfrentar o que está por vir”, escreveram eles. ®
.
