باج افزار به عنوان سرویس(RaaS) یا Ransomware as a service
یکی از عواملی که باعث رشد سریع باج افزار ها شده است Raas می باشد این سرویس برای آن دسته از مهاجمان می باشد که مهارت یا زیر ساخت های لازم برای توسعه باج افزارهای پیشرفته ندارند و یا نمی توانند به صورت گسترده آنها را منتشر کنند. با ظهور شبکهTOR یا The Onion Router که اقتصاد زیر زمینی عظیمی را برای خود به وجود آورد باعث شد که مهاجمان حرفه ای سرویس های خود را به دیگران پیشنهاد بدهند.
قبل از Raas مهاجمان تعداد زیادی قربانی را به عنوان bot در اختیار داشتند که آنها را به کسانی که می خواستند حملات DDOS یا یک اسپم را پخش کنند اجاره می دادند صاحبان botnet می توانند اطلاعات با ارزشی را به دست بیاورند و در معاملات بعدی از آنها استفاده کنند این روش می تواند نحوه استفاده از ابزارهای مدیریت botnet را تغییر دهد چرا که این ابزارهای مدیریتی مدولار بوده و به اجاره کننده اجازه می دهد تا botnet ها را مدیریت و دستکاری کند. اجاره کردن botnet ها با صرفه تر است چرا که هزینه ها و زمان حمله را کاهش می دهند برای مثال باید چند ماه و صدها و یا هزاران دلار هزینه کرد تا هزار host برای حمله به دست آورد اما این روش همه هزینه ها را کاهش داده است و با این کار مهاجم تمرکز اصلی خود را بر روی مهارت های خود می گذارد. بعضی از اجاره دهنده گان هم از اول تا آخر حمله را خود انجام می دهند. مدل های بسیاری از Raas وجود دارد بعضی از آنها بسیار ساده بوده و کار با آنها راحت است بعضی از آنها هم برای مشتریان به طور ویژه طراحی شده است برای مثال چه پیامی در صفحه نمایش نشان داده شود و یا چه فایل هایی هدف قرار بگیرند. آنها همچینین می توانند در تعیین اهداف به اجاره کننده ها پیشنهاد بهتری را بدهند و تا چه میزان حملات می تواند موفق باشد.
در شبکه های TOR ممکن است با تبلیغاتی مواجه بشویم که Raas ارائه می دهند که بیشتر آنها موثر نیستند اما در میان آنها نمونه هایی وجود دارند که می توانند مهاجمان را به اهداف خود برسانند. توسعه دهنده ها باج افزار با استفاده از یک control panel به مهاجمان اجازه کنترل بیشتر بر روی باج افزار را می دهند اما دسترسی به کدهای باینری را برای آنها محدود می کنند. بعضی از سرویس ها هم به ازاء هر باجی که دریافت می شود سهمی را برای خود در نظر می گیرند برای مثال می توان به گروه ORX-locker اشاره کرد که ۳ درصد از هر باجی که مهاجمان می گیرند را دریافت می کند. این گروه همچنین برای مشتریان خود ۲۴ ساعته و در طول ۷ روز هفته پشتیبانی در نظر گرفته اند. مهاجمان ماهر قابلیت های ویژه ای را برای Raas در نظر میگیرند برای مثال بسیاری از گروهها فقط به ارتقاء رابط کاربری برای مشتریان بسنده نکردند و بیشتر روی کدهای باج افزار تمرکز کردند تا تاثیر بیشتری بر روی اهداف داشته باشد. طبیعی است که آنها به مشتریان ماهر خدمات می دهند.
در این قسمت می توان به گروه CTB-locker اشاره کرد که سرویس هایی از جمله باج افزار را ارائه می دهد این گروه روس پشتیبانی خاصی را برای باج افزار ها ارائه نمی دهند و فقط کدهای باینری آن را اجرا می کنند و مشتریان مسئول پخش و مدیریت آن به وسیله exploit kit و ابزارهای اسپم را بر عهده دارند. نکته ای که باید توجه کرد این است که این گروه توسعه دهنده اصلی باج افزار CTB-locker نیستند چرا که کیت کامل این باج افزار به قیمت ۳۰۰۰ دلار توسط گروه اصلی به فروش می رسد. درکل Raas به مهاجمان کمک می کند تا سریع تر حملات خود را انجام دهند و پول بیشتری به دست آورند. Raas می تواند گروه های امنیتی در برابر محافظت از شبکه در برابر باج افزار ها را با مشکل مواجه کند و معمولا توسعه دهنده گان Raas در برابر ردگیری خود را محافظت کرده و مشتریان با خیال راحت حملات خود را گسترش می دهند.
می توان با محدود کردن آدرس IP ها و یا بعضی از دامین ها از نصب باج افزار بر روی سیستم جلوگیری کرد اما سرویس های Raas از این قاعده مستثنی هستند و به سختی می شود با آنها برخورد کرد به دلیل اینکه مشتریان Raas را مهاجمانی تشکیل می دهند که اهداف، روش حمله و مکانیز های گرفتن باج مختلفی را دارند در نتیجه دسته بندی خانواده باج افزارها و همین طور پیشگیری از آنها را با مشکل مواجه کرده است. برای مثال اگر یک نوع خاصی از باج افزار به صورت یک فایل اسپم به سمت هدف ارسال شود تیم امنیتی به راحتی می توانند آن را تشخیص دهند اما اگر همین باج افزار به صورت یک بنر تبلیغاتی در یک وب سایت قانونی قرار داشته باشد مسئله فرق می کند چرا که تیم امنیتی باید با مهندسی معکوس باج افزار رفتار آن را رصد کنند تا اطمینان حاصل کنند که با یک باج افزار جدید در ارتباط هستند یا تغییر شکل باج افزار های قدیمی. نکته ای که باید به آن اشاره کرد این است که مهاجمان قبل از حمله با استفاده از تکنیک های حرفه ای باج افزار خود را با آنتی ویروس ها و سایر متد های امنیتی چک می کنند تا ریسک شناسایی را کاهش دهند.در شکل زیر سرویس هایی که گروه CTB-locker ارائه می دهد نمایش داده شده است
شرکت پرسا تک با استفاده از کارشناسان خود می تواند سیستم های امنیتی را برای شرکت ها صنعتی راه اندازی کند.