Ransomware-gäng utvecklas med nya affiliate-modeller för att locka cyberkriminella
Ransomware-landskapet fortsätter att utvecklas snabbt, och färsk forskning från Secureworks avslöjar att hotaktörer tar en mer företagsliknande inställning till cyberbrottslighet. Två ransomware-grupper, DragonForce och Anubis, erbjuder nu utökade affiliate-program som efterliknar legitima affärsstrukturer – kompletta med tjänsteerbjudanden, varumärkesflexibilitet och supportsystem.
Denna utveckling markerar en oroande trend i världen av ransomware-as-a-service (RaaS), en modell som redan har gjort det oroväckande enkelt för mindre skickliga angripare att lansera förödande ransomware-kampanjer.
Table of Contents
DragonForce förvandlas till en cyberbrottskartell
DragonForce, en RaaS-verksamhet som först dök upp i augusti 2023, döpte nyligen om sig själv till en "kartell" i ett drag som belyser dess förändring mot en mer decentraliserad struktur. Enligt Secureworks Counter Threat Unit (CTU) erbjuder gruppen nu en unik affiliatemodell som låter cyberkriminella skapa sina egna ransomware-varumärken.
Istället för att kräva att affiliates använder dess lösenprogram, ger DragonForce tillgång till sin infrastruktur – inklusive admin- och klientpaneler, krypteringsverktyg, system för lösenförhandling, datalagringslösningar, en Tor-baserad läckageplats och kundsupport. Denna flexibilitet tilltalar angripare med egen skadlig programvara men som behöver hjälp med logistik, infrastruktur eller interaktion med offer.
Även om den här modellen kan attrahera ett bredare utbud av cyberkriminella, introducerar den också risker. Om en affiliate äventyras kan andra som är anslutna till den delade infrastrukturen också avslöjas, vilket potentiellt kan reda ut hela nätverk av samordnade attacker.
Anubis erbjuder tre varianter av Ransomware-partnerskap
Anubis, en annan RaaS-operatör, bryter också formen genom att introducera tre distinkta affiliate-modeller. Var och en erbjuder olika vägar för kriminella som vill tjäna pengar på attacker:
- En klassisk RaaS-installation, med affiliates som behåller 80 % av lösensumman.
- En "data ransom"-modell där detaljerade offeranalyser läggs ut på en lösenordsskyddad sida för att pressa offren att betala.
- En modell för "tillgångsintäkter" som hjälper medlemsförbund att pressa ut tidigare utsatta offer och erbjuder 50 % av lösensumman.
Datalösenmetoden utmärker sig för sin likhet med en form av kriminell innehållsmarknadsföring. Anubis-operatörer publicerar en "utredningsartikel" om offrets stulna data och delar dem sedan privat med offret, varnar för att underlåtenhet att betala kommer att leda till att informationen blir offentlig. De har till och med använt närvaro på sociala medier för att öka trycket och hota avslöjandet till kunder och tillsynsorgan.
Ransomware-operatörer fungerar nu som företag
Dessa affiliate-modeller visar att moderna ransomware-grupper i allt högre grad driver sin verksamhet som legitima företag. Från att erbjuda teknisk support till att tillåta varumärkesanpassning, strategierna är utformade för att tilltala ett bredare spektrum av potentiella angripare. Faktum är att DragonForces erbjudande liknar en hanterad tjänsteleverantör – minus lagligheten.
Enligt Rafe Pilling, Director of Threat Intelligence på Secureworks, borde försvarare börja se gäng som lösenprogram som affärsenheter. Dessa hotaktörer anpassar sig snabbt, jagar intäkter och reagerar på förändringar i cyberbrottslighetens ekosystem, inklusive brottsbekämpande åtgärder och minskande lösensummor.
Hur organisationer kan förbli skyddade
När inträdesbarriären för ransomware-attacker sjunker ännu lägre, måste organisationer vidta proaktiva åtgärder för att stärka sitt försvar. Secureworks CTU rekommenderar följande säkerhetsåtgärder:
- Lagra regelbundet system som vänder sig mot internet
- Implementera phishing-resistent multifaktorautentisering
- Upprätthåll säkra, offline säkerhetskopior av viktiga data
- Övervaka slutpunkter och nätverk för ovanligt beteende
- Utveckla och testa en detaljerad åtgärdsplan för incidenter
Den ökande sofistikeringen av ransomware-gäng och deras affiliate-modeller representerar ett växande hot mot global cybersäkerhet. Att förstå hur dessa operationer fungerar – och att förbereda sig för dem som man skulle förbereda sig för en kunnig företagskonkurrent – kan vara nyckeln till att ligga steget före.
