Nova prijetnja: Gentlemen’s RaaS

AUTOR ·

Gentlemen's RaaS sve češće se pojavljuje na tajnim hakerskim forumima, što potvrđuju nalazi sigurnosnih istraživača iz KrakenLabs tima. Ova platforma nudi zlonamjernim akterima specijalizovane alate za šifrovanje i zaključavanje podataka na Windows, Linux i ESXi operativnim sistemima, čime se jasno pokazuje da predstavlja značajan iskorak u evoluciji modela isporuke ucjenjivačkog softvera (eng. ransomware).

Gentlemen's RaaS

Nova prijetnja: Gentlemen’s RaaS; Source: Bing Image Creator

GENTLEMEN’S RAAS

Gentlemen's RaaS je partnerski program koji na podzemnim forumima promoviše korisnik poznat pod nadimkom zeta88. Riječ je o naprednoj višeplatformskoj operaciji ucjenjivačkog softvera kao usluge (eng. ransomware-as-a-service – RaaS), koja prvenstveno cilja poslovna okruženja i odražava rastući trend ka visoko modularnim i platformski nezavisnim okvirima ucjenjivačkog softvera.

Rastuća složenost savremenog zlonamjernog softvera dovela je do razvoja naprednijih platformi koje nude ucjenjivački softver kao uslugu i koje se mogu prilagoditi različitim operativnim sistemima i arhitekturama. Gentlemen's RaaS se uklapa u ovaj obrazac, koristeći programske jezike poput Go i C kako bi obezbijedio maksimalnu kompatibilnost i performanse u raznovrsnim poslovnim okruženjima. Ovakav pristup omogućava zlonamjernim akterima da oblikuju visoko prilagođene napade usmjerene na specifične ciljeve.

Upotreba više programskih jezika u razvoju Gentlemen's RaaS platforme dodatno otežava odbranu, jer omogućava zaobilaženje tradicionalnih bezbjednosnih mjera koje se oslanjaju na detekciju zasnovanu na potpisima. Kombinovanjem različitih kôdnih baza, platforma uspijeva da izbjegne konvencionalne mehanizme zaštite i ostane neotkrivena duži vremenski period. Modularni dizajn takođe olakšava stalna ažuriranja i prilagođavanja, čime se braniocima otežava održavanje koraka sa novim prijetnjama.

 

Razvoj na više platformi

Gentlemen's RaaS raspolaže zavidnim tehničkim arsenalom, uključujući više specijalizovanih programa za zaključavanje podataka namijenjenih različitim operativnim sistemima. Varijante za Windows i Linux razvijene su u Go jeziku, savremenom programskom jeziku poznatom po efikasnom korištenju resursa i pogodnostima za unakrsno prevođenje izvornog kôda. Ovakav izbor razvojnog okruženja omogućava da se zlonamjerni softver prevodi na različite platforme uz minimalne izmjene, čime se olakšava održavanje i ažuriranje u raznovrsnim okruženjima.

Korištenje Go jezika kao glavnog razvojnog oslonca dodatno omogućava iskorištavanje ugrađenih mogućnosti za konkurentno izvršavanje, što rezultira efikasnim korištenjem višeprocesorskih sistema. To je naročito značajno u savremenim računarskim okruženjima gdje se istovremeno izvršava više niti, pa autori zlonamjernog kôda prilagođavaju svoj proizvod tim uslovima. Na taj način, Gentlemen's RaaS koristi raspoložive resurse sistema bez stvaranja nepotrebnog opterećenja.

Suprotno tome, ESXi varijanta razvijena je u C jeziku, poznatom po malom i efikasnom izvršnom kôdu. Ovaj izbor rezultira datotekom veličine od svega oko 32 kilobajta, što ukazuje na visok stepen optimizacije za virtualizovana okruženja – ključnu metu napada na organizacije koje žele da postignu maksimalan učinak. Upotreba C jezika dodatno obezbjeđuje kompatibilnost sa starijim verzijama ESXi sistema koje možda ne podržavaju savremenije programske jezike.

 

Mogućnosti

Kriptografska implementacija u Gentlemen's RaaS platformi zasniva se na standardnim osnovnim mehanizmima, među kojima se izdvajaju XChaCha20 za nizno šifrovanje i Curve25519 za asimetrične operacije. Ovi algoritmi se u stručnoj zajednici široko prepoznaju kao sigurni i efikasni, pa samim tim predstavljaju čvrstu osnovu za pouzdane mogućnosti šifrovanja.

Posebnu vrijednost daje činjenica da okvir koristi privremene ključeve po datoteci, što znači da svaka šifrovana datoteka dobija sopstveni izvedeni ključ. Takav pristup značajno otežava pokušaje dešifrovanja, jer onemogućava masovno vraćanje podataka bez preciznog poznavanja putanje izvedenog ključa za svaki pojedinačni fajl. Na taj način demonstrira se napredno razumijevanje kriptografskih praksi i istovremeno ublažavaju potencijalni napadi.

Čak i u situaciji kada bi branioci došli u posjed određenog ključa ili pokušali djelimično dešifrovanje, originalni podaci ostaju nedostupni bez specifičnog ključa vezanog za svaku datoteku. Time se dodaje dodatni sloj zaštite protiv masovnog oporavka i dodatno otežava iskorištavanje eventualnih slabosti u samom mehanizmu šifrovanja.

Pored snažne kriptografske osnove, Gentlemen's RaaS uključuje i napredne funkcije operativne bezbjednosti osmišljene da izbjegnu otkrivanje i otežaju istrage. Među njima se izdvajaju tihi režimi izvršavanja, koji omogućavaju da se zlonamjerni softver pokreće bez stvaranja sumnjivih aktivnosti u sistemu ili mrežnom saobraćaju.

Takođe koristi očuvanje vremenskih oznaka, čime se zadržavaju tačni podaci o vremenu datoteka čak i nakon što ih izmijene drugi procesi na kompromitovanom sistemu. Ovo otežava forenzičku analizu i čuva kontekstualne informacije koje istražiteljima mogu biti od pomoći.

Dodatno, primijenjene su anti-forenzičke tehnike koje otežavaju identifikaciju zlonamjernog softvera, uključujući mehanizme zaobilaženja uobičajenih bezbjednosnih rješenja poput sistema za prevenciju upada zasnovanih na potpisima ili izolovanih okruženja (eng. sandboxing) koji se oslanjaju na analizu ponašanja.

Gentlemen's RaaS koristi različite mehanizme postojanosti, oslanjajući se na više Windows administrativnih alata za bočno kretanje i pokretanje pri podizanju sistema. Među njima su Windows Management Instrumentation (WMI), koji omogućava daljinski pristup Windows sistemima putem standardizovanih okruženja, Windows Management Instrumentation Command-line (WMIC), koji se koristi za izvršavanje komandi ili skripti na daljinu bez direktne interakcije korisnika, zatim SCHTASKS i SC, koji služe za zakazivanje zadataka i servisa, čime se održava postojanost čak i kada su resursi sistema ograničeni. Pored toga, PowerShell Remoting omogućava izvršavanje skripti i komandi unutar udaljenih sesija, takođe bez potrebe za direktnom intervencijom korisnika. Ovaj raznovrstan skup alata omogućava održavanje pristupa na nivou sistema čak i nakon uklanjanja početnog vektora infekcije.

Ovakav pristup omogućava uspostavljanje više vektora infekcije, pružajući rezervne opcije u slučaju da neki od mehanizama zakaže. Istovremeno, zlonamjerni softver može da prilagodi svoju strategiju postojanosti u skladu sa promjenama u okruženju i raspoloživim resursima kompromitovanog sistema.

 

Partnerski program

Gentlemen's RaaS je usvojio savremeni pristup ekonomiji ucjenjivačkog softvera kroz model podjele 90/10 između partnera i operatera. Za svaki dolar prikupljen putem otkupa, partner dobija 0,90 dolara, dok operater zadržava 0,10. Ovakva raspodjela podstiče partnere da ulažu vrijeme i resurse u identifikaciju potencijalnih žrtava, sprovođenje izviđanja i pregovore sa metama, čime povećavaju zaradu bez značajnih operativnih troškova.

Namjerni izbor podjele 90/10 odražava modernu ekonomiju ucjenjivačkog softvera kao usluge (RaaS). On omogućava specijalizovanim kriminalnim grupama da iskoriste postojeće znanje u pristupu žrtvama i pregovaranju, dok istovremeno smanjuje troškove operatera. Efikasnost ovog modela potvrđena je i u poređenju sa drugim istaknutim operacijama poput LockBit i BlackCat, gdje se pokazao uspješnim u generisanju prihoda za partnere.

Ovakva struktura podrazumijeva i visok stepen autonomije za partnere unutar Gentlemen's RaaS platforme. Oni su slobodni da posluju samostalno, koristeći sopstvene resurse i stručnost za pronalaženje meta i pregovore o otkupu. Decentralizacija omogućava brže prilagođavanje promjenljivim tržišnim uslovima i efikasnije skaliranje programa, jer svaki saradnik može nezavisno širiti svoje aktivnosti.

Jedna od ključnih karakteristika platforme jeste naglasak na kontroli partnera nad pregovorima o otkupnini. Zadržavanjem direktne kontrole nad ovim interakcijama, operater smanjuje troškove i omogućava kriminalnim grupama da primijene svoje iskustvo u radu sa žrtvama i pregovorima.

Ovakav pristup donosi prednosti i partnerima i operaterima. Za partnere, kontrola nad pregovorima znači veću zaradu i manji rizik povezan sa direktnim kontaktom sa metama, što im omogućava da se fokusiraju na pronalaženje novih žrtava i širenje poslovanja. Za operatere, model osigurava da saradnici ulažu vrijeme i resurse u izgradnju odnosa sa potencijalnim klijentima, čime se stvara efikasnija mreža za distribuciju otkupnina. Istovremeno, oslobađanjem od troškova vezanih za direktnu kontrolu pregovora, operater može usmjeriti resurse na razvoj novih funkcija, unapređenje infrastrukture i širenje dometa platforme.

 

Geografska ograničenja i operativni domet

Eksplicitno isključenje ciljanja unutar Rusije i zemalja Zajednice nezavisnih država (ZND) predstavlja dosljedan obrazac u sajber kriminalnim operacijama povezanim sa Rusijom. Ovaj fenomen se često povezuje sa implicitnim sporazumima između kriminalnih grupa i regionalnih vlasti ili državnih aktera, što direktno utiče na obim djelovanja i taktike koje koriste grupe prijetnji.

Jedno od mogućih objašnjenja za ovakvo geografsko ograničenje leži u složenim odnosima između nacionalnih država i njihovih zajednica za sajber bezbjednost. U pojedinim slučajevima, vlade mogu prećutno tolerisati ili čak sarađivati sa kriminalnim operacijama koje djeluju unutar određenih granica, pod uslovom da ne ciljaju domaće subjekte i interese. Takva odluka obično proizilazi iz kombinacije faktora kao što su regionalna dinamika, ekonomski interesi i rizici povezani sa napadima na entitete unutar sopstvenih teritorija. Izbjegavanjem područja gdje bi se mogli suočiti sa snažnim otporom ili konkurencijom drugih grupa prijetnji, operateri zadržavaju kontrolu nad svojim djelovanjem i smanjuju rizik od sukoba sa moćnim zlonamjernim akterima.

Geografsko ograničenje koje nameće Gentlemen's RaaS usmjerava napade ka sjevernoameričkim, evropskim i azijsko-pacifičkim organizacijama. Ovi regioni, povezani globalnim trgovinskim mrežama, lancima snabdijevanja i digitalnom infrastrukturom, predstavljaju atraktivne mete zbog imovine visoke vrijednosti koja se može eksploatisati. Fokus operacije na ovim područjima dodatno odražava prisustvo profitabilnih tržišta, intelektualne svojine i osjetljivih informacija koje zlonamjerni akteri mogu iskoristiti za ostvarivanje značajne dobiti.

 

UTICAJ

Pojava Gentlemen's RaaS platforme ima dalekosežan uticaj na sajber bezbjednost. Kao napredna platforma koja funkcioniše po modelu ucjenjivačkog softvera kao usluge (RaaS), ona predstavlja egzistencijalnu prijetnju i za organizacije i za pojedince. Razmjera i složenost ove prijetnje zahtijevaju sveobuhvatno razumijevanje njenog uticaja na kritičnu infrastrukturu. Dodjela 90% prihoda od otkupa partnerima stvara unosan poslovni model koji podstiče široko usvajanje među zlonamjernim akterima, što dodatno povećava rizik od ciljanih napada na ranjive sisteme.

Posljedice djelovanja Gentlemen's RaaS platforme su višestruke i razorne. Organizacije koje koriste Windows, Linux ili ESXi okruženja suočavaju se sa povećanim profilom prijetnji zbog međuplatformskih mogućnosti napada. Potencijal za maksimalan uticaj na mreže organizacija predstavlja hitnu brigu koja zahtijeva neposrednu pažnju stručnjaka za bezbjednost.

Demokratizacija pristupa zlonamjernom softveru za šifrovanje putem ove platforme ima snažan uticaj na sajber bezbjednost u cjelini. Širenje operacija ucjenjivačkog softvera zasnovanih na partnerskim programima stvara kritičnu kombinaciju rizika i neizvjesnosti. Sigurnosni istraživači sada se suočavaju sa neviđenim nivoom sofisticiranosti prijetnji, u koje su uložena značajna sredstva radi unapređenja međuplatformskih sposobnosti.

Posebno zabrinjava uticaj na kritičnu infrastrukturu. Gentlemen's RaaS je osmišljen da cilja najranjivije sisteme, ostavljajući organizacije u potrazi za adekvatnim odgovorom na napade. Posljedice su dalekosežne i razarajuće, uključujući značajne finansijske gubitke, narušenu reputaciju i ugrožen integritet podataka.

Ova platforma već sada oblikuje budućnost sajber bezbjednosti. Kako se prijetnja nastavlja razvijati, postaje očigledno da tradicionalne odbrambene strategije više nisu dovoljne. Potreban je novi pristup koji kombinuje proaktivne mjere sa snažnim reaktivnim praksama, kako bi se organizacije mogle efikasno suprotstaviti rastućem talasu naprednih napada.

 

ZAKLJUČAK

Gentlemen's RaaS je složena zlonamjerna platforma osmišljena za napade na svjetske organizacije. Njena arhitektura odražava promišljenu strategiju za efikasno širenje operacija iznude, uz zadržavanje centralizovane kontrole kroz infrastrukturu za dešifrovanje. Posebno izgrađena struktura sa odvojenim modulima za zaključavanje, prilagođenim različitim sistemima, ukazuje na visok stepen tehničke razvijenosti i pažljivo planiran dizajn.

Platforma promoviše brzo raspoređivanje unutar globalnih organizacija nudeći finansijske podsticaje za široko usvajanje, što omogućava zlonamjernom softveru da se širi i održava snažno prisustvo u različitim okruženjima. Sigurnosni istraživači identifikovali su je kroz analizu promotivnih materijala koji kruže na hakerskim forumima, što potvrđuje njenu aktivnu promociju i strateško pozicioniranje.

Gentlemen's RaaS koristi napredne tehnike šifrovanja, među kojima su XChaCha20 u kombinaciji sa Curve25519 kriptografijom i privremene ključeve po datoteci, čime se postiže granularna arhitektura šifrovanja. Ova implementacija obezbjeđuje robusnu zaštitu i efikasne procese dešifrovanja, naglašavajući visok nivo složenosti i prilagodljivosti platforme.

Zlonamjerni softver pokazuje i mehanizme postojanosti kroz mogućnosti bočnog kretanja, što mu omogućava efikasno širenje po različitim sistemima. Njegovo raspoređivanje uključuje zaključavanja zasnovana na Go programskom jeziku za Windows i Linux okruženja, kao i ESXi module napisane u C jeziku, veličine oko trideset dva kilobajta. Ovakav pristup omogućava fleksibilnost i prilagođavanje različitim infrastrukturnim uslovima.

Sveukupno, Gentlemen's RaaS demonstrira strateški dizajn koji kombinuje tehničku sofisticiranost i centralizovanu kontrolu sa finansijskim podsticajima za partnere. Time se stvara efikasan alat za zlonamjerne aktere, sposoban da poveća obim operacija ucjenjivačkog softvera i održi snažno prisustvo na globalnom nivou.

 

PREPORUKE

Gentlemen's RaaS je napredna platforma za iznudu putem zlonamjernog softvera, čija složena arhitektura i primjena savremenih kriptografskih tehnika predstavljaju ozbiljnu prijetnju bezbjednosti informacionih sistema. Zbog toga je neophodno sprovesti jasne i sveobuhvatne mjere zaštite, koje obuhvataju sljedeće preporuke:

  1. Organizacije bi trebalo da daju prioritet primjeni softvera za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) na svim krajnjim tačkama, uključujući desktop računare, laptopove, mobilne uređaje i servere. Ovo će omogućiti praćenje sumnjivih aktivnosti u realnom vremenu, dozvoljavajući bezbjednosnim timovima da brzo reaguju na potencijalne prijetnje prije nego što eskaliraju u potpune napade.
  2. Dijeljenjem mreže na izolovane segmente, organizacije mogu ograničiti širenje zlonamjernog softvera i spriječiti ga da dospije do osjetljivih područja ili sistema. Ovo treba uraditi zajedno sa implementacijom strogih kontrola pristupa kako bi se osiguralo da samo ovlašćeno osoblje ima pristup određenim segmentima.
  3. Organizacije moraju dati prioritet redovnom pravljenju rezervnih kopija kritičnih podataka i bezbjednom čuvanju rezervnih kopija na izolovanim, zaštićenim serverima. Ovo će spriječiti zlonamjerne aktere da pristupe i šifruju rezervne kopije osjetljivih datoteka, osiguravajući kontinuitet poslovanja u slučaju napada ucjenjivačkog softvera. Redovno testiranje sistema rezervnih kopija je takođe neophodno kako bi se osigurao njihov integritet.
  4. Redovne bezbjednosne revizije su ključne za identifikovanje ranjivosti koje bi mogle biti iskorišćene od strane Gentlemen's RaaS ili drugih prijetnji. Ove revizije treba da obuhvate sve aspekte IT infrastrukture organizacije, uključujući konfiguracije mreže, ažuriranja sistema i korisničke dozvole. Ovo će pomoći u identifikovanju oblasti u kojima se mogu napraviti poboljšanja kako bi se ojačala ukupna odbrana.
  5. Implementacija autentifikaciju u više koraka (eng. multi-factor authentication – MFA) za sve korisnike je jednostavan, ali efikasan način za sprječavanje neovlaštenog pristupa sistemima i podacima. Zahtijevanjem višestrukih oblika provjere prije odobravanja pristupa, organizacije mogu značajno smanjiti rizik od zlonamjernih aktera koji dobijaju pristup putem ugroženih podataka za prijavu ili phishing
  6. Phishing ostaje jedan od najčešćih vektora za početno kompromitovanje u napadima ucjenjivačkog softvera poput Gentlemen's RaaS. Organizacije treba da edukuju korisnike o opasnostima sumnjive elektronske pošte, priloga i linkova, naglašavajući važnost provjere identiteta pošiljaoca prije interakcije sa bilo kojim sadržajem.
  7. Prilikom prenosa osjetljivih podataka između sistema ili eksternim stranama, organizacije moraju da koriste bezbjedne protokole kao što su HTTPS (Hypertext Transfer Protocol Secure) ili SFTP (Secure File Transfer Protocol). Ovo će spriječiti zlonamjerne aktere da presretnu i iskoriste nešifrovane komunikacione kanale.
  8. Pristup sa najmanjim privilegijama osigurava da se korisnicima dodjeljuju samo dozvole neophodne za obavljanje njihovih zadataka, smanjujući potencijalnu štetu u slučaju napada. Organizacije treba da implementiraju stroge kontrole pristupa zasnovane na ulogama (eng. role-based access controls – RBAC) kako bi ograničile korisničke privilegije u svim sistemima i aplikacijama.
  9. Održavanje operativnih sistema, softverskih paketa i upravljačkog softvera (eng. firmware) ažuriranim je neophodno za otklanjanje poznatih ranjivosti koje bi mogao da iskoristi Gentlemen's RaaS. Organizacije treba da implementiraju robustan proces upravljanja ažuriranjima kako bi se osigurala blagovremena implementacija bezbjednosnih ispravki i ažuriranja na svim krajnjim tačkama.
  10. Praćenje sistemskih zapisa i mrežnog saobraćaja može pomoći u ranom identifikovanju potencijalnih prijetnji, omogućavajući organizacijama da brzo reaguju prije nego što zlonamjerni akteri steknu prednost. Ovo uključuje implementaciju alata za agregaciju zapisa i konfigurisanje sistema za praćenje mreže radi otkrivanja sumnjivih aktivnosti u realnom vremenu.
  11. S obzirom na međuplatformske mogućnosti Gentlemen's RaaS platforme, koje uključuju ciljanje ESXi okruženja, neophodno je da organizacije implementiraju bezbjedne konfiguracije za ove sisteme. Ovo uključuje korištenje jakih lozinki, omogućavanje SSH (Secure Shell) pristupa samo kada je to potrebno i konfigurisanje segmentacije mreže radi izolacije osjetljivih područja.
  12. Kada dodjeljuju udaljeni pristupi korisnicima ili dobavljačima trećih strana, organizacije moraju koristiti bezbjedne servise kao što su virtuelne privatne mreže (eng. virtual private networks – VPN), koji šifruju svu komunikaciju između klijentskog uređaja i servera. Ovo će spriječiti zlonamjerne aktere da presretnu nešifrovane podatke tokom prenosa.
  13. Kako sve više organizacija premješta svoje poslovanje u okruženja u oblaku, neophodno je da implementiraju robusne bezbjednosne strategije za ove platforme. Ovo uključuje korištenje bezbjednih protokola za prenos podataka, implementaciju kontrola pristupa zasnovanih na principima najmanjih privilegija i redovno praćenje sistemskih zapisa i mrežnog saobraćaja radi potencijalnih prijetnji.
  14. Redovno penetracijsko testiranje može pomoći u identifikaciji ranjivosti u IT infrastrukturi organizacije koje bi mogle biti iskorišćene od strane Gentlemen's RaaS ili drugih prijetnji. Ovo uključuje simulaciju napada iz stvarnog sveta radi testiranja odbrane i identifikacije oblasti gdje su potrebna poboljšanja.
  15. U slučaju napada ucjenjivačkog softvera, dobro razvijen plan odgovora na sajber prijetnju je ključan za obezbjeđivanje kontinuiteta poslovanja tokom reagovanja na incident. Organizacije bi trebalo da razviju sveobuhvatne planove koji opisuju procedure za obavještavanje, obuzdavanje, iskorjenjivanje, oporavak i aktivnosti nakon incidenta.

Zaštita od Gentlemen's RaaS platforme zahtijeva višeslojan pristup koji obuhvata različite aspekte bezbjednosnog stanja organizacije. Praćenjem preporuka navedenih iznad, organizacije mogu značajno smanjiti svoju izloženost riziku od ove prijetnje.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.