O Ransomware-as-a-Service é um modelo de negócio considerado lucrativo, semelhante ao Software-as-a-Service (SaaS), e que faz os grupos cibercriminosos a operarem de forma muitas vezes semelhante ao de empresas legítimas de tecnologia. Eles fornecem o ransomware para parceiros que realizam ataques. Enquanto o grupo desenvolve o programa malicioso, com painel e demais funcionalidades, os parceiros […]
O Ransomware-as-a-Service é um modelo de negócio considerado lucrativo, semelhante ao Software-as-a-Service (SaaS), e que faz os grupos cibercriminosos a operarem de forma muitas vezes semelhante ao de empresas legítimas de tecnologia. Eles fornecem o ransomware para parceiros que realizam ataques. Enquanto o grupo desenvolve o programa malicioso, com painel e demais funcionalidades, os parceiros fazem os ataques, podendo utilizar recursos próprios além dos fornecidos pelo grupo ao qual estão associado.
O mecanismo faz parte de um estudo da Tempest, que buscou entender e avaliar o funcionamento interno de grupos cibercriminosos, como o ALPHV (também conhecido como BlackCat ou Noberus), que operam no modelo de ransomware como serviço. Segundo a empresa de segurança, o objetivo é oferecer insights sobre operações criminosas e suas relações com outros grupos.
Leia também: Incidentes de segurança na nuvem aumentaram 154% em um ano
Na maioria das vezes, diz o estudo, os parceiros (também chamados de afiliados) estão vinculados a mais de um grupo de ransomware. Por isso foram observadas similaridades no comportamento desses afiliados. O modelo de negócio inclui inclusive anúncios denominados “Programa de Parceria”, utilizado por grupos de ransomware para atrair novos parceiros.
Os benefícios incluem pentesters e Initial Access Brokers (IABs), oferecendo benefícios para expandir essas redes, aumentar lucros e garantir estabilidade de operações.
No processo de recrutamento de novos afiliados são realizadas entrevistas conduzidas pelos operadores dos grupos, onde são avaliadas as habilidades técnicas e o histórico dos candidatos. Uma vez aprovados, eles recebem acesso a painéis exclusivos, que fornecem ferramentas para configurar e gerar o ransomware, gerenciar alvos, publicar informações das vítimas e até realizar ataques de negação de serviço distribuída (DDoS).
O estudo pode ser visto com mais detalhes nesse blog post.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
