RaaS (Ransomware-as-a-Service, программы-вымогатели как услуга) — бизнес-модель, в рамках которой разработчики вредоносного ПО предоставляют другим злоумышленникам по подписке программы-вымогатели и инфраструктуру для управления ими.
RaaS — разновидность модели MaaS (Malware-as-a-Service, вредоносное программное обеспечение как услуга), которая, в свою очередь, представляет собой вредоносную вариацию модели SaaS (Software-as-a-Service, программное обеспечение как услуга).
Что входит в RaaS
По модели RaaS чаще всего распространяются шифровальщики — программы-вымогатели, которые шифруют хранящиеся на устройстве файлы и требуют выкуп за их восстановление. Кроме того, с конца 2019 года многие разработчики шифровальщиков включают в свои услуги кражу данных жертв, чтобы впоследствии угрожать их публикацией в случае неуплаты выкупа. Также по модели RaaS могут распространяться блокировщики — программы, которые блокируют работу устройства до получения злоумышленниками выкупа.
В пакет услуг, которые оказывают в рамках RaaS, могут входить:
- скомпилированная вымогательская программа или ее исходный код;
- инструменты для настройки программы-вымогателя, например выбора операционной системы жертвы, написания записки с требованием выкупа и т. д.;
- другие вредоносные инструменты, например программы для извлечения данных перед шифрованием;
- инфраструктура для управления программой-вымогателем;
- панель управления;
- техническая поддержка;
- закрытый форум для обмена информацией;
- инструкция.
Некоторые поставщики RaaS также предлагают свою помощь в переговорах о выплате выкупа.
Система оплаты услуг Raas
Услуги типа RaaS обычно реализуются в даркнете. Существует несколько моделей оплаты услуг Ransomware-as-a-service:
- Единоразовая покупка программы-вымогателя
- Подписка на сервис за определенную месячную плату
- Комиссия в размере определенного процента от выкупа
Некоторые поставщики RaaS совмещают несколько способов оплаты, например берут деньги за подписку и долю от выкупа.
RaaS и рост числа атак ransomware
Модель RaaS снижает порог вхождения в вымогательский бизнес: разработчики ransomware предоставляют подписчикам готовое вредоносное ПО и инфраструктуру, в результате проводить атаки могут в том числе злоумышленники, не владеющие языками программирования и другими техническими навыками. Это, с одной стороны, приводит к росту числа атак с использованием ransomware, с другой — усложняет борьбу с вымогателями. Даже если разработчики вредоносного ПО будут арестованы, подписчики их ПО могут продолжать атаки.
Известные группировки, распространяющие ransomware по модели RaaS
К крупным игрокам рынка Ransomware-as-a-service относятся такие группировки, как Conti, REvil (также известная как Sodinokibi), DarkSide, Babuk и Lockbit.