Dintre cele 62 de noi familii crypto-ransomware descoperite de cercetătorii Kaspersky Lab în 2016, cel puţin 47 au fost dezvoltate de infractori cibernetici vorbitori de limbă rusă. Aceasta este una dintre concluziile unei prezentări a cercetătorilor Kaspersky Lab despre comunitatea infracţională ransomware vorbitoare de limbă rusă.
Analiza efectuată a scos la iveală faptul că grupurile mici, cu resurse limitate, se transformă în mari întreprinderi infracţionale care au resursele şi intenţia să atace ţinte private şi organizaţionale din toată lumea.
Programele crypto-ramsomware – un tip de malware care criptează documentele victimelor şi cere o răscumpărare în schimbul decriptării – sunt în prezent unul dintre cele mai periculoase tipuri de malware. Potrivit datelor Kaspersky Lab, în 2016, peste 1.445.000 de utilizatori de pe glob (inclusiv companii) au fost atacaţi cu acest tip de malware.
Pentru a putea înţelege mai bine natura acestor atacuri, cercetătorii Kaspersky Lab au efectuat o analiză a comunităţii infracţionale vorbitoare de limbă rusă.
Una dintre principalele concluzii este cea că intensificarea atacurilor ransomware observate în anii trecuţi este rezultatul unui ecosistem underground flexibil şi foarte simplu de folosit, permiţând infractorilor să lanseze campanii crypto-ramsomware, aproape indiferent de nivelul abilităţilor de utilizare a computerelor sau de resursele financiare deţinute.
Cercetătorii Kaspersky Lab au identificat trei niveluri ale implicării infracţionale în afacerea cu ransomware:
– Crearea şi actualizarea unor noi familii ransomware;
– Dezvoltarea şi oferirea de suport pentru programele afiliate care distribuie ransomware;
– Participarea la programe afiliate ca partener.
Primul tip de implicare pretinde participantului să aibă cunoştinţe avansate de programare. Infractorii cibernetici care creează noi programe ransomware sunt cei mai privilegiaţi membri, deoarece ei dezvoltă elementele cheie ale întregului ecosistem.
La nivelul secundar al ierarhiei sunt dezvoltatorii programelor afiliate. Aceştia sunt comunităţi infracţionale care, cu ajutorul diverselor instrumente, precum kit-urile de exploit-uri şi malware spam, livrează programele ransomware.
Partenerii programelor afiliate sunt la nivelul inferior al întregului sistem.
Utilizând diverse tehnici, ei îi ajută pe deţinătorii programelor afiliate să distribuie conţinutul malware în schimbul unei părţi din răscumpărarea primită de aceştia. Participanţii la aceste programe afiliate nu trebuie să aibă decât intenţia şi disponibilitatea de a face activităţi ilegale şi câteva monede bitcoins.
Conform estimărilor Kaspersky Lab, venitul zilnic total al unui program afiliat poate atinge zeci sau chiar sute de mii de dolari, dintre care aproape 60% rămân în buzunarele infractorilor ca profit net.
În plus, pe parcursul cercetării ecosistemului infracţional şi a numeroaselor operaţiuni de răspuns la incidente, experţii Kaspersky Lab au reuşit să identifice câteva grupuri mari de infractori vorbitori de limbă rusă, specializaţi în dezvoltarea şi distribuţia de programe crypto-ransomware.
Aceste grupuri ar putea să reunească zeci de parteneri, fiecare cu propriul program afiliat, iar lista celor vizaţi include nu doar utilizatori obişnuiţi de Internet, ci şi companii mici şi mijlocii sau chiar corporaţii. După ce iniţial au vizat doar utilizatori şi organizaţii din Rusia şi din alte ţări aparţinând Comunităţii Statelor Independente, aceste grupuri iau acum în vizor companii localizate în alte regiuni ale lumii.
„Este dificil să spunem de ce atât de multe familii ransomware au la origine vorbitori de limbă rusă, dar şi mai important este că observăm acum dezvoltarea lor de la grupuri mici, având capacităţi limitate, către întreprinderi infracţionale mari, care au resursele şi intenţia de a ataca şi alte ţinte în afara celor din Rusia”, spune Anton Ivanov, Security Researcher la Kaspersky Lab şi autorul lucrării.
„Am văzut o situaţie asemănătoare cu grupurile de malware financiar precum Lurk. Şi ei au început tot cu atacuri masive la adresa utilizatorilor de online banking, iar apoi au evoluat către grupuri complexe, capabile să jefuiască organizaţii mari precum băncile. Sun Tzu spunea: „dacă îţi cunoşti duşmanul şi te cunoşti pe tine însuţi, nu trebuie să-ţi fie frică de rezultatul a o sută de bătălii”.
Din acest motiv am făcut această analiză: bandele ransomware se tranformă în duşmani foarte puternici, iar pentru publicul larg şi comunitatea de securitate IT este important să aflăm cât mai mult posibil despre ei”, încheie Anton Ivanov.