A Tempest realizou um estudo para entender e avaliar o funcionamento interno de grupos cibercriminosos, como o ALPHV (também conhecido como BlackCat ou Noberus), que operam no modelo Ransomware-as-a-Service.
O estudo revela detalhes sobre os bastidores do cibercrime, onde o Ransomware-as-a-Service é reconhecido como um modelo de negócio lucrativo, semelhante ao Software-as-a-Service (SaaS), onde as próprias operações fornecem o ransomware para agentes parceiros que realizam ataques às redes corporativas.
Enquanto o grupo desenvolve o ransomware, painel e demais funcionalidades, os seus parceiros realizam o ataque, podendo utilizar seus recursos além dos fornecidos pelo grupo ao qual está associado. De acordo com o que foi observado, na maioria das vezes, os parceiros (também chamados de afiliados) estão vinculados a mais de um grupo de ransomware. Devido a isso foram observadas similaridades no comportamento desses afiliados.
O levantamento põe luz sobre este modelo de negócio, o qual se utiliza de anúncios denominados "Programa de Parceria", utilizado por grupos de ransomware para atrair novos parceiros, como pentesters e Initial Access Brokers (IABs), oferecendo uma variedade de benefícios para expandir suas redes, aumento de lucros e garantir a estabilidade de suas operações.
No processo de recrutamento de novos afiliados são realizadas entrevistas conduzidas pelos operadores dos grupos, onde são avaliadas as habilidades técnicas e o histórico dos candidatos. Uma vez aprovados, recebem acesso a paineis exclusivos, que fornecem ferramentas para configurar e gerar o ransomware, gerenciar alvos, publicar informações das vítimas e até mesmo realizar ataques de negação de serviço distribuída (DDoS).
