RANSOMWARE AS A SERVICE (RAAS)

 RANSOMWARE NHƯ MỘT DỊCH VỤ (RAAS) GIẢI THÍCH
CÁCH HOẠT ĐỘNG & VÍ DỤ

Kurt Baker - 30 tháng 1 năm 2023

Ransomware dưới dạng dịch vụ (RaaS) là gì?

Ransomware as a Service (RaaS) là một mô hình kinh doanh giữa các nhà khai thác ransomware và các chi nhánh, trong đó các chi nhánh trả tiền để thực hiện các cuộc tấn công ransomware do các nhà khai thác phát triển . Hãy nghĩ về ransomware như một dịch vụ như một biến thể của mô hình kinh doanh phần mềm dưới dạng dịch vụ (SaaS).

Bộ công cụ RaaS cho phép các chi nhánh thiếu kỹ năng hoặc thời gian để phát triển biến thể ransomware của riêng họ để có thể hoạt động nhanh chóng và có giá cả phải chăng. Chúng rất dễ tìm thấy trên web đen, nơi chúng được quảng cáo giống như cách hàng hóa được quảng cáo trên web hợp pháp.

Bộ công cụ RaaS có thể bao gồm hỗ trợ 24/7, các ưu đãi đi kèm, đánh giá của người dùng, diễn đàn và các tính năng khác giống hệt với các tính năng được cung cấp bởi các nhà cung cấp SaaS hợp pháp. Giá của bộ công cụ RaaS dao động từ 40 đô la mỗi tháng đến vài nghìn đô la – số tiền không đáng kể nếu xét rằng nhu cầu tiền chuộc trung bình vào năm 2021 là 6 triệu đô la . Kẻ đe dọa không cần mọi cuộc tấn công đều thành công để trở nên giàu có.

Mô hình RaaS hoạt động như thế nào

Bảng bên dưới phác thảo vai trò của các nhà khai thác và đơn vị liên kết trong mô hình RaaS:

Toán tử RaaS	Chi nhánh RaaS
Tuyển dụng các chi nhánh trên diễn đàn	Trả tiền để sử dụng ransomware Đồng ý với phí dịch vụ cho mỗi khoản tiền chuộc được thu thập
bảng điều khiển “xây dựng gói ransomware của riêng bạn ” Tạo bảng điều khiển “Lệnh và Kiểm soát” chuyên dụng để đơn vị liên kết theo dõi gói	Nhắm mục tiêu nạn nhân Đặt yêu cầu tiền chuộc Định cấu hình tin nhắn người dùng sau thỏa thuận
	Xâm phạm tài sản của nạn nhân Tối đa hóa sự lây nhiễm bằng cách sử dụng các kỹ thuật “sống ngoài đất liền” Thực thi ransomware
Thiết lập cổng thanh toán cho nạn nhân Các chi nhánh “Hỗ trợ” đàm phán với nạn nhân	Giao tiếp với nạn nhân thông qua cổng trò chuyện hoặc các kênh liên lạc khác
Quản lý một trang web rò rỉ chuyên dụng	Quản lý khóa giải mã

Có 4 mô hình doanh thu RaaS phổ biến:

1. Đăng ký hàng tháng với mức phí cố định

2. Các chương trình liên kết, giống như mô hình tính phí hàng tháng nhưng có phần trăm lợi nhuận (thường là 20-30%) sẽ thuộc về nhà phát triển ransomware

3. Phí giấy phép một lần không chia sẻ lợi nhuận

4. Chia sẻ lợi nhuận thuần túy

Các nhà khai thác RaaS tinh vi nhất cung cấp các cổng cho phép người đăng ký của họ xem trạng thái lây nhiễm, tổng số tiền thanh toán, tổng số tệp được mã hóa và các thông tin khác về mục tiêu của họ. Đơn vị liên kết có thể chỉ cần đăng nhập vào cổng RaaS, tạo tài khoản, thanh toán bằng Bitcoin, nhập thông tin chi tiết về loại phần mềm độc hại mà họ muốn tạo và nhấp vào nút gửi. Người đăng ký có thể có quyền truy cập vào hỗ trợ, cộng đồng, tài liệu, cập nhật tính năng và các lợi ích khác giống với những lợi ích mà người đăng ký nhận được đối với các sản phẩm SaaS hợp pháp.

Thị trường RaaS có tính cạnh tranh. Ngoài các cổng RaaS, các nhà khai thác RaaS còn chạy các chiến dịch tiếp thị và có các trang web trông giống hệt các chiến dịch và trang web của công ty bạn. Họ có video, sách trắng và hoạt động tích cực trên Twitter. RaaS là một ngành kinh doanh và là một ngành kinh doanh lớn: tổng doanh thu từ ransomware vào năm 2020 là khoảng 20 tỷ USD , tăng so với 11,5 tỷ USD của năm trước.

Một số ví dụ nổi tiếng về bộ công cụ RaaS bao gồm Locky, Goliath, Shark, Stampado, Encryptor và Jokeroo, nhưng có nhiều bộ công cụ khác và các nhà khai thác RaaS thường xuyên biến mất, tổ chức lại và tái xuất hiện với các biến thể ransomware mới hơn và tốt hơn.

BÁO CÁO MỐI ĐE DỌA TOÀN CẦU CROWDSTRIKE 2023

Báo cáo Mối đe dọa Toàn cầu năm 2023 nêu bật một số tác nhân đe dọa mạng mạnh mẽ và tiên tiến nhất trên toàn thế giới. Chúng bao gồm các đối thủ quốc gia, tội phạm điện tử và hacker. Đọc về tội phạm mạng tiên tiến và nguy hiểm nhất hiện có.

Tải ngay

Ví dụ về RaaS

Tổ ong

Hive là một nhóm RaaS trở nên phổ biến vào tháng 4 năm 2022, khi họ nhắm mục tiêu vào một số lượng lớn khách hàng Exchange Server của Microsoft bằng cách sử dụng kỹ thuật chuyển tiếp . Các tổ chức bao gồm các công ty tài chính, tổ chức phi lợi nhuận, tổ chức chăm sóc sức khỏe, v.v. Vào ngày 26 tháng 1 năm 2023, Bộ Tư pháp Hoa Kỳ thông báo họ đã làm gián đoạn hoạt động của Hive bằng cách thu giữ hai máy chủ phụ trợ của nhóm ở Los Angeles, CA. Người ta ước tính rằng Hive đã bỏ lại hơn 1.500 nạn nhân trên toàn thế giới và bị tống tiền hàng triệu đô la làm tiền chuộc.

mặt tối

DarkSide là một hoạt động RaaS được liên kết với một nhóm tội phạm điện tử được CrowdStrike theo dõi với tên gọi CARBON SPIDER. Các nhà khai thác DarkSide theo truyền thống tập trung vào các máy Windows và gần đây đã mở rộng sang Linux, nhắm mục tiêu vào các môi trường doanh nghiệp chạy các trình ảo hóa VMware ESXi chưa được vá hoặc đánh cắp thông tin xác thực vCenter. Vào ngày 10 tháng 5, FBI đã công khai chỉ ra sự cố Colonial Pipeline có liên quan đến phần mềm tống tiền DarkSide . Sau đó, có thông tin cho rằng Colonial Pipeline đã bị đánh cắp khoảng 100GB dữ liệu khỏi mạng của họ và tổ chức này bị cáo buộc đã trả gần 5 triệu USD cho một chi nhánh của DarkSide .

Tà ác

REvil, còn được gọi là Sodinokibi, được xác định là ransomware đứng sau một trong những yêu cầu tiền chuộc lớn nhất được ghi nhận: 10 triệu USD . Nó được bán bởi nhóm tội phạm PINCHY SPIDER , nhóm bán RaaS theo mô hình liên kết và thường thu về 40% lợi nhuận.

Tương tự như những lần rò rỉ ban đầu của TWISTED SPIDER, PINCHY SPIDER cảnh báo nạn nhân về vụ rò rỉ dữ liệu theo kế hoạch, thường thông qua một bài đăng trên blog trên DLS chứa dữ liệu mẫu làm bằng chứng (xem bên dưới), trước khi phát hành phần lớn dữ liệu sau một khoảng thời gian nhất định. REvil cũng sẽ cung cấp liên kết tới bài đăng trên blog trong thông báo đòi tiền chuộc. Liên kết hiển thị thông tin rò rỉ cho nạn nhân bị ảnh hưởng trước khi bị lộ ra công chúng. Khi truy cập liên kết, đồng hồ đếm ngược sẽ bắt đầu, điều này sẽ khiến thông tin rò rỉ được xuất bản sau khi hết khoảng thời gian nhất định.

pháp

Các cuộc tấn công ransomware Dharma được cho là do một nhóm đe dọa Iran có động cơ tài chính thực hiện. RaaS này đã có sẵn trên web đen từ năm 2016 và chủ yếu liên quan đến các cuộc tấn công giao thức máy tính từ xa (RDP). Những kẻ tấn công thường yêu cầu 1-5 bitcoin từ các mục tiêu trong nhiều ngành công nghiệp.
Dharma không được kiểm soát tập trung, không giống như REvil và các bộ công cụ RaaS khác.

Các biến thể của Dharma đến từ nhiều nguồn và hầu hết các sự cố trong đó CrowdStrike xác định Dharma đều cho thấy sự trùng khớp gần như 100% giữa các tệp mẫu. Sự khác biệt duy nhất là khóa mã hóa, email liên hệ và một số thứ khác có thể được tùy chỉnh thông qua cổng RaaS. Bởi vì các cuộc tấn công Dharma gần như giống hệt nhau nên những kẻ săn mối đe dọa không thể sử dụng một sự cố để tìm hiểu nhiều về kẻ đứng đằng sau một cuộc tấn công Dharma và cách chúng vận hành.

KhóaBit

Được phát triển ít nhất từ tháng 9 năm 2019, LockBit có sẵn dưới dạng RaaS, được quảng cáo cho người dùng nói tiếng Nga hoặc người nói tiếng Anh có người bảo lãnh nói tiếng Nga. Vào tháng 5 năm 2020, một chi nhánh điều hành LockBit đã đăng lời đe dọa rò rỉ dữ liệu trên một diễn đàn tội phạm nổi tiếng bằng tiếng Nga:

Ngoài mối đe dọa, đơn vị liên kết còn cung cấp bằng chứng, chẳng hạn như ảnh chụp màn hình của tài liệu mẫu có trong dữ liệu nạn nhân. Sau khi thời hạn trôi qua, chi nhánh sẽ đăng một liên kết mega[.]nz để tải xuống dữ liệu nạn nhân bị đánh cắp. Chi nhánh này đã đe dọa công bố dữ liệu của ít nhất chín nạn nhân.

XEM CROWDSTRIKE FALCON HOẠT ĐỘNG

Tìm hiểu cách cổng thông tin đòi tiền chuộc do CIRCUS SPIDER thiết lập hoạt động và tại sao NetWalker đã chứng tỏ là dịch vụ ransomware dưới dạng dịch vụ (RaaS) thành công đến vậy.

Tải ngay

Ngăn chặn các cuộc tấn công RaaS

Việc phục hồi sau một cuộc tấn công bằng ransomware rất khó khăn và tốn kém, do đó tốt nhất bạn nên ngăn chặn chúng hoàn toàn. Các bước để ngăn chặn một cuộc tấn công RaaS cũng giống như ngăn chặn bất kỳ cuộc tấn công ransomware nào, bởi vì RaaS chỉ là một ransomware được đóng gói để bất kỳ ai có mục đích xấu đều có thể dễ dàng sử dụng:

·         Triển khai tính năng bảo vệ điểm cuối hiện đại và đáng tin cậy có thể hoạt động trên các thuật toán nâng cao và hoạt động tự động ở chế độ nền suốt ngày đêm.

·         Thực hiện sao lưu thường xuyên và thường xuyên. Nếu việc sao lưu chỉ được thực hiện vào mỗi cuối tuần thì một cuộc tấn công bằng ransomware có thể tiêu tốn sản phẩm làm việc của cả tuần.

·         Tạo nhiều bản sao lưu và lưu trữ chúng trên các thiết bị riêng biệt ở các vị trí khác nhau.

·         Kiểm tra các bản sao lưu thường xuyên để đảm bảo chúng có thể được lấy lại.

·         Duy trì một chương trình vá lỗi nghiêm ngặt để bảo vệ khỏi các lỗ hổng đã biết và chưa biết.

·         Phân đoạn mạng để cản trở sự phổ biến trên toàn môi trường.

·         Thực hiện bảo vệ chống lừa đảo nâng cao.

·         Đầu tư vào đào tạo người dùng và xây dựng văn hóa bảo mật.

 

Sửa lỗi User profile cannot be loaded trên Windows

 

Cách sửa lỗi User profile cannot be loaded trên Windows 10

Khi bạn mở máy tính lên và nhập mật khẩu, máy lại không mở profile tài khoản của bạn mà chỉ hiện màn hình xanh kèm dòng chữ 'User profile cannot be loaded', tức là hệ thống đang bị lỗi. Trong bài này sẽ hướng dẫn chi tiết hai cách để bạn sửa lỗi này.

XEM NHANH

• Cách 1: Đổi tệp NTUSER.dat
• Cách 2: Thay đổi kiểu khởi động của profile

Hướng dẫn chi tiết cách sửa lỗi User profile cannot be loaded trên máy tính chạy hệ điều hành Windows 10 với 2 cách đơn giản dưới đây.

Cách 1: Đổi tệp NTUSER.dat

Một trong những nguyên nhân phổ biến gây ra lỗi User Profile Cannot Be Loaded trên Windows 10 là vì tệp NTUSER.dat đã  bị hỏng. Tệp này chịu trách nhiệm lưu lại những thay đổi trên máy tính bạn như cài đặt trình duyệt web mặc định, ảnh nền hoặc độ phân giải máy tính.

Vì thế nếu tệp này bị lỗi, ta có thể thay nó bằng tệp NTUSER.dat mặc định để sửa lỗi.

Bước 1: Đăng nhập vào máy bằng tài khoản khác

Bước 2: Mở File Explorer, rồi vào ổ đĩa C

Bước 3: Click đúp chuột vào thư mục User để mở

Bước 4: Thư mục profile mặc định thường được cài đặt để ẩn, vì vậy, hãy click để đánh dấu tick vào ô Hidden items và thấy được thư mục này

Bước 5: Click đúp vào thư mục Default

Bước 6: Tìm tệp tên NTUSER.DAT, rồi click chuột phải vào nó để đổi tên (tên gì cũng được). Hoặc, bạn có thể chuyển nó sang tạm một thư mục nào khác ngoài ổ C.

Giờ, quay lại ổ đĩa C, click và chuột phải để copy tệp NTUSER.DAT từ thư mục Guest Profile hoặc từ Profile nào khác cũng được

Bước 7: Click đúp vào thư mục Guest Profile

Bước 8: Dán tệp NTUSER.DAT từ thư mục Guest Profile sang thư mục Default Profile

Giờ hãy khởi động lại máy và đăng nhập lại thử để xem còn bị lỗi User Profile Cannot Be Loaded không.

Cách 2: Thay đổi kiểu khởi động của profile

Nếu cách 1 không có tác dụng, thay đổi kiểu khởi động của User Profile Service thành Automatic có thể sẽ có tác dụng.

Để làm được như vậy bạn cần truy cập vào Windows Services Manager, tuy nhiên vì hiện tại bạn đang không thể đăng nhập vào máy tính, nên toàn bộ các bước sau đây sẽ hướng dẫn bạn đưa máy tính vào Safe Mode trước rồi mới dùng đến Windows Service Manager.

Bước 1: Trong màn hình đăng nhập, nhấn giữ nút Shift rồi click vào Restart

Hành động này sẽ làm xuất hiện menu Windows 10 Boot Options để bạn có thể đưa máy tính vào Safe Mode (chế độ an toàn)

Bước 2: Click vào Troubleshoot

Bước 3: Click vào Advanced options

Bước 4: Click vào Startup Settings

Bước 5: Click Restart

Bước 6: Nhấn phím F4 hoặc phím số 4 trên bàn phím để đưa máy tính vào Safe Mode

Bước 7: Nhấn tổ hợp phím Windows + R để mở hộp thoại Run

Bước 8: Gõ hoặc copy paste dòng services.msc vào, rồi click OK

Bước 9: Tìm mục tên User Profile Service rồi click đúp vào nó để mở menu properties

Bước 10: Dưới mục Startup Type, click chọn Automatic rồi click OK

Vậy là xong, giờ khởi động lại máy một lần nữa là bạn sẽ có thể đăng nhập vào profile một cách bình thường.