Wat is Ransomware-as-a-Service (RaaS)?

Handen geven geld aan laptop met daarop versleutelde bestanden
Klik hier voor een samenvatting van dit artikel
Ransomware-as-a-Service (RaaS) in een notendop

Ransomware-as-a-Service (Raas) is een crimineel verdienmodel dat is afgeleid van het legitieme Software-as-a-Service (SaaS)-model. Hackersgroepen perfectioneren de code van ransomware, maar in plaats van deze zelf te gebruiken om cyberaanvallen uit te voeren tegen bedrijven en andere organisaties, verhuren ze hun malware aan ‘bondgenoten’.

Hoewel deze minder bekwame bondgenoten of affiliates niet over de kennis en kunde beschikken om hun eigen code te ontwikkelen, kunnen ze toch een volwaardige ransomware-aanval uitvoeren op het netwerk van een organisatie met de meest geavanceerde criminele technologie die verkrijgbaar is. Wanneer affiliates geld verdienen met het uitvoeren van cyberaanvallen, geven ze een percentage aan de RaaS-ontwikkelaars, waardoor hun winst stijgt.

De afgelopen jaren wisten enkele prominente RaaS-groepen de nieuwskoppen met betrekking tot cyberaanvallen te halen:

  • REvil
  • Ryuk
  • DarkSide
  • Netwalker
  • CLOP

Wil je meer te weten komen over Ransomware-as-a-Service? Wil je leren hoe je jezelf beschermt en hoe je verwoestende aanvallen op je computer of bedrijfsnetwerk voorkomt? Lees dan verder.

Door een stormvloed aan cyberaanvallen die de afgelopen jaren talloze bedrijven heeft lamgelegd, zijn velen bekend met de term ransomware.

Je scherm springt op zwart en een pop-upvenster verschijnt in beeld. Deze vertelt je in gebrekkig Engels of Nederlands dat alle bestanden op jouw computer zijn gedownload en versleuteld. Om de decoderingssleutel te krijgen of te voorkomen dat de buitgemaakte gegevens op het dark web verschijnen, moet je losgeld in bitcoin of andere (niet te traceren) cryptomunten betalen aan black hat hackers.

Maar weinig mensen zijn bekend met het goed georganiseerde verdienmodel van de onderwereld dat dit soort aanvallen lanceert. Dit noemen we ook wel Ransomware-as-a-Service of RaaS. In plaats van cyberaanvallen zelf uit te voeren, verhuren ransomware-ontwikkelaars hun premium malwareproduct aan technisch minder goed onderlegde cybercriminelen, die bereid zijn het risico op zich te nemen dat gepaard gaat met ransomware-campagnes.

Maar hoe werkt dat allemaal? Wie staat er aan de top van de hiërarchie? Wie zijn de tussenpersonen? En nog belangrijker: hoe bescherm je jezelf en je bedrijf tegen dit soort destructieve aanvallen? In dit artikel duiken we dieper in de wereld van RaaS.

Wat is Ransomware-as-a-Service (RaaS)?

Ransomware-as-a-Service (RaaS) is een crimineel verdienmodel. Het concept is simpelweg overgenomen van het legale Software-as-a-Service (SaaS)-model. Enkele van de grootste bedrijven ter wereld bieden SaaS-applicaties aan, zoals Dropbox, Microsoft Office 365 en Slack.

Klanten betalen maandelijks abonnementsgeld of een eenmalig bedrag om SaaS-apps te gebruiken. Voor RaaS kunnen cybercriminelen hetzelfde doen, hoewel de betaling plaatsvindt in moeilijk te traceren bitcoin of andere cryptomunten.

Wat de winst betreft, hebben cybercriminelen twee opties: ‘franchisenemers’ of ‘affiliates’ kunnen ervoor kiezen om een deel van het losgeld te delen met de RaaS-ontwikkelaar, of alle winst voor zichzelf te houden. Dat is afhankelijk van de overeenkomst tussen de afnemers van RaaS-diensten en de ontwikkelaars ervan.

De onderstaande afbeelding laat zien hoe een veel voorkomende RaaS-regeling er doorgaans in praktijk uitziet:

Infographic dat het verdienmodel van Ransomware-as-a-Service (RaaS) uitlegt

Net als SaaS-bedrijven adverteren georganiseerde criminele syndicaten met hun diensten en delen ze positieve gebruikersbeoordelingen over hun producten. Het grote verschil is dat hun markt beperkt is tot het dark web en ondergrondse hackersfora.

Hoe werkt RaaS?

Omdat RaaS een blauwdruk is voor cybercriminelen, heeft het niet de traditionele structuur, contractuele verplichtingen en duidelijk omschreven voorwaarden die legitieme bedrijven wel hebben. Desalniettemin hebben experts die de onderwereld van het internet bestuderen een aantal vaste regelingen ontdekt –die allemaal lijken op legitieme bedrijfsmodellen– waar RaaS-aanbieders zich aan houden.

Stel dat een lager opgeleide hacker niet de mogelijkheid heeft om zijn eigen gijzelsoftware te maken, of de volledige ins en outs kent van het uitvoeren van een ransomware-aanval. Hij krijgt niet alleen toegang tot ransomware van topklasse, maar heeft ook recht op andere extraatjes, zoals klantenondersteuning, toegang tot anonieme portalen voor de betaling van losgeld, en updates over systeeminfecties en campagnes.

Hieronder staan we stil bij enkele van deze illegale verdienmodellen.

Affiliate RaaS

Criminele affiliateprogramma’s zijn uitgegroeid tot de meest vooraanstaande varianten van RaaS om een aantal redenen: naamsbekendheid van de ransomware-groep, succespercentages van de campagnes, en kwaliteit en bereik van de geleverde diensten.

Criminele groeperingen die hun ransomwarecode binnen de gelederen willen houden, zoeken vaak hackers die op eigen kracht bedrijfsnetwerken kunnen infiltreren en de malware en ondersteuning gebruiken om een cyberaanval uit te voeren.

Met de recente toename van aanbiedingen op het dark web om toegang tot bedrijfsnetwerken te kopen, heeft een hacker dit misschien niet eens nodig om aan deze eis te voldoen. In plaats van een maandelijkse of jaarlijkse vergoeding te betalen om de ransomwarecode te gebruiken (hoewel affiliates soms moeten betalen om er gebruik van te mogen maken), voeren goed ondersteunde en lager geschoolde hackers risicovolle aanvallen uit voor een aandeel in de winst.

Ransomwarebendes zoeken doorgaans hackers die slim genoeg zijn om een bedrijfsnetwerk binnen te dringen en moedig genoeg om de cyberaanval uit te voeren. Bij deze regeling houdt de partner meestal 60 tot 70 procent van het losgeld, terwijl de resterende 30 tot 40 procent wordt toegekend aan de RaaS-ontwikkelaar.

RaaS gebaseerd op abonnementen

Bij deze regeling betalen cybercriminelen maandelijks of jaarlijks abonnementsgeld. Daarvoor krijgen ze toegang tot ransomware, technische ondersteuning en malware-updates. Dit kun je vergelijken met webgebaseerde abonnementsmodellen als Netflix, Spotify en Microsoft Office 365.

Normaal gesproken betalen criminelen vooraf voor de dienst –waarvan de bedragen kunnen oplopen van 50 dollar tot enkele duizenden dollars per maand, afhankelijk van de RaaS-provider– en strijken de volledige winst van de losgeldbetalingen op. Als je bedenkt dat een cyberaanval gemiddeld 220.000 dollar oplevert, zijn de abonnementskosten slechts een kleine investering.

Vanzelfsprekend kunnen affiliateprogramma’s ook een op abonnement gebaseerd element in hun voorwaarden opnemen.

Levenslange licenties

In plaats van geld te verdienen door abonnementsgelden en winstdeling, kan een malware-ontwikkelaar er ook voor kiezen pakketten te verkopen voor een eenmalig bedrag en niet het risico te lopen om direct betrokken te raken bij cyberaanvallen.

In dit scenario betalen cybercriminelen vooraf een bedrag. Ze krijgen dan levenslang toegang tot een ransomware-kit, die ze op hun eigen manier mogen gebruiken.

Hoewel zo’n levenslange licentie aanzienlijk duurder is (sommige geavanceerde kits kosten tienduizenden dollars), kiezen sommige kruimeldieven toch voor deze optie. De gedachte is dat ze hierdoor moeilijker in verband zijn te brengen met de RaaS-ontwikkelaar, mocht deze ooit opgepakt worden.

RaaS ‘overval’ samenwerkingsverbanden

Cyberaanvallen met ransomware vereisen verschillende vaardigheden van de betrokken hackers. In dit model wordt een team samengesteld, waarbij voor iedereen een andere rol is weggelegd. Om te beginnen heb je iemand nodig die gijzelsoftware ontwikkelt, een cybercrimineel die een bedrijfsnetwerk kan hacken en een Engelstalige onderhandelaar die over losgeld onderhandelt. Ieder lid stemt ermee in om de winst onderling te verdelen. Afhankelijk van hun positie en rol in de cyberaanval, krijgt ieder een aandeel van de losgeldopbrengst.

De grootste RaaS-bendes

Hoewel ransomwarebendes regelmatig verdwijnen, reorganiseren, een nieuwe naam krijgen en weer opduiken, zijn er een paar namen die in de loop der jaren vaker zijn genoemd dan andere. Deze groepen draaien als een goed geoliede machine en zijn strak georganiseerd en professioneel in hun opzet en uitvoering.

Dit heeft in de loop der jaren geleid tot veel opzienbarende cyberaanvallen op overheidsorganen, vitale infrastructuren en internationale organisaties. De meeste van deze bendes voeren hun aanvallen uit vanuit Oost-Europa. Ze laten het uit hun hoofd organisaties in de voormalige deelstaten van de Sovjet-Unie aan te vallen.

Beveiligingsspecialisten hebben ontdekt dat de code van sommige van deze groepen zo is geschreven dat malware geen kans krijgt op computers waarvan de standaardtaal Russisch, Oekraïens of Wit-Russisch is, naast andere Slavische talen uit landen van de voormalige Sovjet-Unie.

Hier zijn enkele van de meest voorkomende criminele organisaties die nu actief zijn.

REvil (Sodinokibi)

Een van de hackersgroepen die in 2021 het meest in het nieuws was, is REvil. Het Russische hackerscollectief was verantwoordelijk voor de cyberaanval op de Amerikaanse ICT-dienstverlener Kaseya, de Braziliaanse vleesproducent JBS en de Taiwanese elektronicagigant Acer.

De ransomware van REvil werd ook gebruikt om kopieën van verzekeringskaarten, paspoorten en rijbewijzen te stelen van patiënten en werknemers van het University Medical Center in Las Vegas.

Volgens cybersecuritybedrijf Black Fog was de REvil-malware goed voor 13 procent van de ransomware-aanvallen in 2021.

Ryuk (Conti)

Deze groep was een van de meest prominent aanwezige bendes in 2019 en 2020 en verantwoordelijk voor 13 procent van alle ransomware-aanvallen in 2021. De gijzelsoftware van Ryuk werd onder meer gebruikt bij aanvallen op Amerikaanse ziekenhuizen in Californië, New York en Oregon, maar ook in het Verenigd Koninkrijk en Duitsland.

Door de aanvallen hadden artsen geen toegang tot patiëntendossiers. Ze zorgden tevens voor problemen op de intensive care. De ransomware van Ryuk was daarnaast verantwoordelijk voor cyberaanvallen op Universal Health Services (UHS), advocatenkantoor Seyfart Shaw en de aanval op Sopra Steria in Europa.

DarkSide

Ben je bekend met de cyberaanval op Colonial Pipeline in de zomer van 2021? Dan heb je vast en zeker wel eens de naam DarkSide voorbij horen komen. De aan Rusland gelieerde hackersgroep legde de pijplijn die de Amerikaanse oostkust van aardolie voorziet tijdelijk stil, wat veel paniek veroorzaakte.

DarkSide is relatief nieuw en heeft in 2021 60 cyberaanvallen uitgevoerd. Toch heeft de hackersgroep in relatief korte tijd een reputatie weten op te bouwen door zich te richten op grote doelwitten, innovatieve criminele zakelijke ondernemingen op te zetten en een ‘gedragscode’ op te stellen.

De hackers van DarkSide en hun partners beweren alleen Engelssprekende landen aan te vallen en ziekenhuizen, onderzoekscentra, scholen en non-profitorganisaties met rust te laten.

CLOP (Fancycat)

Meer dan genoeg slachtoffers zijn terug te leiden naar CLOP. Universiteiten staan bovenaan de lijst van favoriete doelwitten. Onder meer de Universiteit van Miami en de Universiteit van Colorado werden het slachtoffer van CLOP. De hackersgroep was tevens verantwoordelijk voor de aanval op Universiteit Maastricht en de Universiteit van Antwerpen.

In juni arresteerde de Oekraïense politie zes CLOP-leden. Tevens confisqueerde de politie luxueuze auto’s, high-end computers en omgerekend 160.000 euro aan contanten.

Netwalker (Mailto)

Een andere prominente hackersgroep die gijzelsoftware gebruikt om aanvallen uit te voeren op bedrijven, overheidsorganen, ziekenhuizen, rechtshandhavingsinstanties en onderwijsinstellingen, is Netwalker.

Een van de slachtoffers die recentelijk het doelwit was van Netwalker, is de Universiteit van Californië. De universiteit betaalde 1,14 miljoen dollar aan losgeld nadat een onderzoeksfaciliteit was gehackt. Andere doelwitten waren onder meer de Amerikaanse staat Michigan, Equinix en de Toll Group in Australië.

Tips om ransomware-aanvallen te voorkomen

Cybersecuritybedrijf Varonis schat dat er sinds 2016 dagelijks meer dan 4.000 ransomware-aanvallen zijn uitgevoerd.

Laptop Met SlotHackersgroepen gaan meestal voor de hoofdprijs en richten zich op grote multinationals, organisaties en bedrijven die in de kritische infrastructuur of de publieke sector werkzaam zijn. Dat betekent echter niet dat hackers geen eenvoudige en goedkope malware-kits downloaden om ransomware-aanvallen op kleinere schaal uit te voeren.

Zo bescherm je jezelf tegen ransomware-aanvallen

Er zijn allerlei manieren om jezelf en je bedrijf te beschermen. Een cyberaanval is al succesvol als één medewerker binnen het bedrijf of de vestiging een fout maakt. Daarom is een cybersecuritytraining essentieel. Gebruik de onderstaande tips om aanvallen met gijzelsoftware af te slaan.

  • Klik nooit op onveilige links: klikken op een kwaadaardige link is vaak het enige dat nodig is om ransomware op een computer of netwerk te downloaden en een infectie in het systeem te veroorzaken. Klik daarom nooit op een URL in spamberichten of op websites die je niet kent.
  • Pas op voor verdachte bijlages in e-mails: hackers kunnen gijzelsoftware ook via bijlages in e-mails injecteren. Open daarom nooit bijlages in e-mailberichten die afkomstig zijn van verdachte afzenders. Ook als je de afzender kent, is het belangrijk om goed te controleren of het e-mailadres niet gespooft is. Open nooit een bijlage met macro’s: de malware kan dan de controle over je computer volledig overnemen.
  • Geef nooit persoonlijke informatie: met behulp van social engineering-tactieken bellen, sms’en of e-mailen hackers slachtoffers voorafgaand aan een aanval. Ze proberen persoonlijke informatie los te peuteren door zich voor te doen als een medewerker van de IT-afdeling of klantenservice. Deze informatie gebruiken ze om phishingaanvallen specifiek op jou af te stemmen.
  • Updaten, updaten, updaten: ongeacht welk besturingssysteem je gebruikt, zorg ervoor dat je deze regelmatig bijwerkt. Dat geldt ook voor de programma’s en applicaties op je (mobiele) apparaten. Als je besturingssystemen en software regelmatig updatet, installeer je de nieuwste beveiligingspatches en oplossingen voor beveiligingsproblemen. Daardoor is het voor hackers en cybercriminelen een stuk moeilijker om toegang te krijgen tot computersystemen en bedrijfsnetwerken via bekende kwetsbaarheden.
  • Download niets van onbekende websites: RaaS kan zich verstoppen op phishingwebsites waar je misschien naar bent doorgeleid. Controleer daarom of er een hangslotpictogram in de webbrowserbalk staat en of de site het voorvoegsel ‘https’ gebruikt in plaats van ‘http’. Wees extra zorgvuldig als je filesharing- of torrentsites bezoekt. Hoewel de meeste van deze sites in beginsel niet kwaadaardig zijn, kunnen kwaadwillenden ze gebruiken om ransomware te uploaden door deze te vermommen als een populaire film, muziekbestand of een e-book. Dat is de belangrijkste reden om online piraterij koste wat kost te vermijden.
  • Gebruik geen onbekende USB-sticks: in het verleden hebben cybercriminelen USB-sticks geïnfecteerd met ransomware en op openbare plekken neergelegd in de hoop dat nietsvermoedende slachtoffers ze oppikken en gebruiken. Sluit daarom nooit een USB-stick of een ander opslagapparaat aan op je computer als je niet weet waar deze vandaan komt.
  • Gebruik een VPN op openbare wifi-netwerken: wanneer je verbonden bent met een openbaar wifi-netwerk in een coffeeshop, op een luchthaven of andere openbare plaats, ben je kwetsbaarder voor cyberaanvallen. Cybercriminelen kunnen gemakkelijk toegang krijgen tot onveilige wifi-netwerken en gevoelige gegevens onderscheppen om ransomware-aanvallen uit te voeren. Gebruik een VPN om jezelf hiertegen te beschermen. VPN’s creëren een beveiligde verbinding tussen jouw apparaat en de openbare wifi-verbinding. Het beschermt je internetactiviteiten en gegevens doordat al het dataverkeer door een versleutelde virtuele tunnel wordt verstuurd.

Volgens antivirussoftwaremaker Kaspersky kunnen er een aantal factoren zijn waardoor jij of je bedrijf extra risico lopen om doelwit te worden van een ransomware-aanval:

  • Je gebruikt verouderde apparatuur of software.
  • Webbrowsers en besturingssystemen zijn niet gepatcht of bijgewerkt.
  • Je maakt geen back-ups van je bestanden.
  • Cybersecurity is geen prioriteit.
  • Er zijn geen beveiligingsprotocollen en -procedures als er een cyberaanval plaatsvindt.

Populariteit RaaS neemt toe

Geld in een gat op een computerschermVolgens blockchain onderzoeksbureau Chainalysis steeg het aantal losgeldbetalingen na een ransomware-aanval in 2020 met 337 procent tot meer dan 400 miljoen dollar. In de eerste helft van 2021 verdienden hackers en cybercriminelen meer dan 81 miljoen dollar met ransomware-aanvallen. Er zijn geen aanwijzingen dat het aantal aanvallen met gijzelsoftware op korte termijn afneemt.

De verzekeringspremies voor cybersecurity zijn de pan uitgerezen, zowel voor kleine als grote bedrijven. Het leeuwendeel van deze aanvallen vindt plaats in de vorm van RaaS. Cybercriminelen hebben deze verdienmodellen omarmd om twee redenen: ransomware-ontwikkelaars lopen minder risico en behalen meer winst, en het stelt minder bekwame hackers in staat om prominente cyberaanvallen uit te voeren op grote ondernemingen.

Minder risico en hogere winsten voor ransomware-ontwikkelaars

Zodra een ontwikkelaar zijn gijzelsoftware heeft geperfectioneerd, is het voor hem verstandiger om deze te verhuren dan het risico te nemen om betrapt te worden als hij cyberaanvallen uitvoert.

Een hacker moet het bedrijfsnetwerk binnendringen, ransomware installeren, en bestanden downloaden en versleutelen. Vervolgens moeten ze slachtoffers afpersen door ze te overtuigen om losgeld in bitcoin of andere cryptomunten te betalen.

Ontwikkelaars kunnen net zo goed franchisenemers op het dark web zoeken om het werk te doen. Ze leunen dan achterover en strijken een deel van opbrengsten op van elke aanval die met hun gijzelsoftware wordt uitgevoerd.

Hackers met weinig kennis kunnen grootse ransomware-aanvallen uitvoeren

Dankzij het RaaS-model hoeven minder bekwame hackers niet hun eigen ransomware en tools te ontwikkelen om geavanceerde cyberaanvallen uit te voeren.

HackerHackersgroepen hebben daar al voor gezorgd door volwaardige malware-kits en een klantenservice voor hun RaaS-programma’s aan te bieden. Minder getalenteerde hackers kunnen, voor een kleine vergoeding, lucratieve ransomware-aanvallen uitvoeren.

Als aanvallen met gijzelsoftware miljoenen dollars aan losgeldbetalingen blijven opleveren, zullen black hat hackers de komende jaren gebruik blijven maken van de service.

Daarom is het belangrijker dan ooit om van internetveiligheid een topprioriteit te maken. Ransomware-as-a-Service is een gevaarlijke trend die laat zien dat online bedreigingen alleen maar toenemen.

Wat is Ransomware-as-a-Service (RaaS)? Veelgestelde vragen

Heb je vragen over het Ransomware-as-a-Service (RaaS)-verdienmodel? Hieronder staan we stil bij enkele belangrijke vragen. Klik op een vraag om het antwoord te bekijken. Staat je vraag er niet tussen? Laat dan een reactie onder dit bericht achter.

Ransomware-as-a-Service (RaaS) is een crimineel verdienmodel waarmee ontwikkelaars van gijzelsoftware geld verdienen door hun malware te verhuren aan hackers en cybercriminelen (die ook wel ‘bondgenoten’ of ‘affiliates’ worden genoemd). RaaS-ontwikkelaars ontvangen een percentage van de losgeldbetalingen die voortvloeien uit ransomware-aanvallen. Het verdienmodel lijkt op dat van het legale Software-as-a-Service (SaaS). Lees ons volledige artikel om meer te leren over RaaS.

Ransomware-as-a-Service (RaaS) is een illegaal bedrijfsmodel dat ontwikkeld is door georganiseerde misdaadbendes. Betrokken zijn bij een ransomware-aanval in welk deel van het proces dan ook – ransomware-kits kopen op het dark web, een bedrijfsnetwerk binnendringen, systeembestanden stelen, versleutelen en downloaden, of bitcoin afpersen van slachtoffers– is volstrekt illegaal.

Ransomware of gijzelsoftware is een vorm van malware die wordt gebruikt om vertrouwelijke of privacygevoelige bestanden en gegevens van een netwerk of systeem te versleutelen. Deze data worden in feite gegijzeld totdat de hacker het slachtoffer een decoderingssleutel geeft.

Als computersystemen of bedrijfsnetwerken besmet zijn met ransomware, eisen cybercriminelen bitcoin of andere moeilijk te traceren cryptomunten in ruil voor de sleutel. Cybersecuritydeskundigen zijn verdeeld over de vraag of slachtoffers al dan niet losgeld moeten betalen, aangezien er geen garantie is dat ze hun bestanden terugkrijgen.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen