Ransomware-ul se afla pe buzele tuturor, de fiecare data cand companiile discuta despre amenintarile cibernetice cu care se vor confrunta in 2021. Atacatorii si-au construit brand-urile si sunt mai increzatori in progresele lor ca niciodata, stirile despre organizatii care au avut, deja, parte de atacuri ransomware in mod constant fiind pe primele pagini ale ziarelor. Dar, plasandu-se sub lumina reflectoarelor, astfel de grupuri ascund complexitatea reala a ecosistemului ransomware.
Pentru a ajuta organizatiile sa inteleaga modul in care functioneaza ecosistemul ransomware si cum sa-l combata, cel mai recent raport al cercetatorilor Kaspersky, cuprinde detalii despre ecosistemul ransomware, culese de pe forumurile darknet, o perspectiva asupra bandelor REvil si Babuk si nu numai, si demitizeaza unele dintre povestile care circula despre ransomware. Cand vrei sa descoperi mai multe despre aceasta lume interlopa, trebuie sa te astepti ca are multe fatete.
Ca orice industrie, ecosistemul ransomware cuprinde multi jucatori care isi asuma diferite roluri. Contrar credintei ca bandele de rascumparare sunt de fapt bande – unite, au trecut prin toate situatiile impreuna, grupari de tipul Godfather, realitatea este mai asemanatoare cu lumea din „The Gentlemen” a lui Guy Ritchie, cu un numar semnificativ de actori diferiti – dezvoltatori, botmasteri, vanzatori de acces, operatori de ransomware – implicati in majoritatea atacurilor, furnizandu-si servicii reciproc prin intermediul pietelor de pe dark web.
Acesti actori se intalnesc pe forumuri specializate darknet unde pot gasi anunturi actualizate in mod regulat prin care se ofera detalii despre servicii si parteneriate. Jucatorii importanti, implicati in atacurile mari, care isi desfasoara activitatea pe cont propriu, nu frecventeaza astfel de site-uri, cu toate acestea, grupuri cunoscute, cum ar fi REvil, care au atacat din ce in ce mai multe organizatii in ultimele trimestre, isi publica ofertele si stirile in mod regulat, folosind programe afiliate. Acest tip de implicare presupune un parteneriat intre operatorul grupului de ransomware si afiliat, cu operatorul de ransomware retinand o cota de profit cuprinsa intre 20-40%, in timp ce restul de 60-80% ramane la afiliat.
Alegerea unor astfel de parteneri este un proces structurat, cu reguli de baza stabilite de operatorii de ransomware de la bun inceput – inclusiv restrictii geografice si chiar puncte de vedere politice. In acelasi timp, victimele ransomware-ului sunt selectate oportunist.
Intrucat persoanele care infecteaza organizatiile si cele care opereaza efectiv ransomware-ul sunt grupuri diferite, legate doar de dorinta de a profita, cele mai multe organizatii infectate sunt adesea tinte usoare – in esenta, cele la care atacatorii au reusit sa aiba acces mai simplu. Ar putea fi atat atacatori care lucreaza in cadrul programelor afiliate, cat si operatori independenti care vand ulterior accesul – intr-o forma de licitatie sau ca o solutie, incepand de la 50 USD. Acesti atacatori sunt, de cele mai multe ori, proprietari de botnets care lucreaza la campanii de anvergura si vand accesul la echipamentele victimelor en gros alaturi de vanzatori de acces care cauta vulnerabilitati dezvaluite public in software-ul conectat, cum ar fi dispozitivele VPN sau gateway-urile de e-mail, vulnerabilitati pe care le pot folosi ulterior pentru a se infiltra in organizatii.
Forumurile Ransomware gazduiesc si alte tipuri de oferte și detalii. Unii operatori de ransomware vand esantioane de malware si constructori de ransomware pentru orice valoare cuprinsa intre 300 la 4.000 USD, altii ofera Ransomware-as-a-Service – vanzarea de ransomware cu sprijin continuu din partea dezvoltatorilor sai, care poate varia de la 120 USD pe luna la 1.900 USD pachete anuale.
In ultimii doi ani, am vazut cum infractorii cibernetici au devenit mai indrazneti in utilizarea ransomware-ului. Organizatiile vizate de astfel de atacuri nu se limiteaza la corporatii si organizatii guvernamentale – operatorii de ransomware sunt gata sa intre in culisele oricarei companii, indiferent de dimensiune. Este clar ca industria ransomware-ului in sine este una complex, care implica multi actori diferiti cu roluri diferite. Pentru a lupta impotriva lor, trebuie sa ne educam cu privire la modul in care functioneaza si sa luptam unitar impotriva lor. Ziua Anti-Ransomware este o buna oportunitate de a evidentia aceasta nevoie si de a reaminti publicului cat de importanta este adoptarea unor practici de securitate eficiente. Programul global de criminalitate cibernetica al INTERPOL, impreuna cu partenerii nostri, este hotarat sa reduca impactul global al ransomware-ului si sa protejeze comunitatile de daunele cauzate de aceasta amenintare tot mai presanta”,
comenteaza Craig Jones, Director or Cybercrime, INTERPOL.
„Ecosistemul ransomware este unul complex, cu multe interese in joc. Este o piata fluida, cu multi jucatori, unii destul de oportunisti, altii – foarte profesionisti si avansati. Ei nu aleg tinte specifice, pot merge catre orice organizatie – o companie mare sau o afacere mica, atata timp cat pot avea acces la ele. Mai mult, afacerile lor sunt infloritoare, fapt care arata ca nu vor disparea prea curand. Vestea buna este ca utilizarea chiar si a unor masuri de securitate destul de simple poate indeparta atacatorii de organizatii, asa ca practicile standard, cum ar fi actualizari periodice de software si copii de rezerva, izolate, ajuta, dar si exista mult mai multe lucruri pe care organizatiile le pot face pentru a se proteja.
comenteaza Dmitry Galov, cercetator in securitate la echipa globala de cercetare si analiza a Kaspersky.
„Actiunile eficiente impotriva ecosistemului ransomware pot fi decise doar dupa ce fundamentele sale sunt intelese cu adevarat. Cu acest raport, speram sa facem lumina asupra modului in care atacurile ransomware sunt organizate cu adevarat, astfel incat comunitatea sa poata stabili contramasuri adecvate”,
adauga Ivan Kwiatkowski, cercetator principal in securitate la echipa globala de cercetare si analiza Kaspersky.