Het Ransomware-as-a-Service-model krijgt klappen na de aanval op Colonial Pipeline. Grote illegale forums proberen zich te distantiëren met voelbare gevolgen.
De grote overheidsrespons uitgelokt door de ransomware-aanval op Colonial Pipeline heeft een structureel effect. Forums die essentieel zijn voor het floreren van het Ransomware-as-a-Service-model (RaaS) distantiëren zich nu, zeggen beveiligingsonderzoekers aan TechRepublic. Daarmee is ransomware nog niet van de baan, maar het heeft een impact op de winst en is zo een stap in de juiste richting.
Forums
Het RaaS-model vereist samenwerking tussen een heleboel malafide individuen. Bepaalde criminelen bieden ransomware aan en die wordt gekocht door geïnteresseerde groepen, die op hun beurt exploits nodig hebben om de ransomware af te leveren. De digitale misdadigers vinden elkaar traditioneel op dark web-forums.
De administrators van dergelijke forums zijn op hun hoede na de grote overheidsrespons op de aanval op Colonial Pipeline. Recruteerders van ransomware-groepen zijn daardoor niet meer welkom. Zo wordt het moeilijk voor RaaS-organisaties om partners te vinden en staat het businessmodel op de helling.
Groeperingen kunnen natuurlijk wel nog steeds eigen ransomware voor eigen rekening uitbaten. Bovendien is het ecosysteem niet helemaal lamgelegd. Het wordt wel minder voordelig en dat is een noodzakelijke eerste stap in de strijd tegen ransomware.
Andere doelwitten
Ook RaaS-aanbieders zelf veranderen hun gedrag sinds de aanval op Colonial Pipeline. Zij vallen liefst grote doelwitten zonder strategisch belang aan, zodat ze zich als een soort Robin Hood kunnen profileren. De schrik om organisaties met een grote impact op de maatschappij aan te vallen, zit er in. Ook gezondheidsinstellingen zijn daarom voor de meeste ransomware-groeperingen geen doelwit meer.
De vraag is nu hoe het RaaS-ecosysteem verder zal evolueren. Is er echt een structurele verschuiving, of zal de situatie zich na een tijdje opnieuw herstellen in het voordeel van de RaaS-aanbieders.