W 2016 roku ponad 75% szyfrujących programów ransomware pochodziło z rosyjskojęzycznego podziemia
Spośród 62 nowych rodzin szkodliwego oprogramowania ransomware szyfrującego dane wykrytych przez badaczy z Kaspersky Lab w 2016 r. co najmniej 47 zostało stworzonych przez rosyjskojęzycznych cyberprzestępców.
To jedno z ustaleń analizy rosyjskojęzycznego podziemia ransomware przeprowadzonej przez badaczy z Kaspersky Lab. W analizie ustalono również, że niewielkie ugrupowania o ograniczonych możliwościach stają się ogromnymi przedsiębiorstwami przestępczymi, które posiadają zarówno zasoby, jak i intencje atakowania celów prywatnych oraz korporacyjnych na całym świecie.
Kryptograficzne oprogramowanie ransomware — rodzaj szkodliwego oprogramowania, które szyfruje pliki swojej ofiary i żąda okupu w zamian za przywrócenie dostępu do danych — to obecnie jeden z najbardziej niebezpiecznych rodzajów cyberzagrożeń. Według telemetrii Kaspersky Lab tego rodzaju szkodliwe oprogramowanie zaatakowało w ubiegłym roku ponad 1 445 000 użytkowników (łącznie z firmami) na całym świecie. Aby lepiej zrozumieć charakter tych ataków, badacze z Kaspersky Lab dokonali przeglądu rosyjskojęzycznego podziemia przestępczego. Jednym z głównych wniosków, jakie wyciągnęli, jest to, że zaobserwowany w ostatnich latach wzrost liczby ataków przy użyciu oprogramowania ransomware wynika z niezwykle elastycznego i przyjaznego dla przestępców podziemnego ekosystemu, który pozwala przeprowadzać kampanie przy użyciu narzędzi ransomware, niezależnie od umiejętności technicznych czy zasobów finansowych.
Badacze z Kaspersky Lab zidentyfikowali trzy poziomy udziału przestępców w biznesie związanym z ransomware:
· tworzenie i aktualizacja nowych rodzin oprogramowania ransomware,
· rozwój i wsparcie programów partnerskich służących do dystrybucji ransomware,
· udział w tych programach w charakterze partnerów.
W przypadku uczestnictwa pierwszego typu niezbędne jest posiadanie umiejętności na zaawansowanym poziomie w zakresie pisania kodu. Przestępcy, którzy rozwijają nowe odmiany oprogramowania ransomware, tworzą kluczowy element całego ekosystemu.
Na drugim szczeblu hierarchii znajdują się osoby opracowujące programy partnerskie. Są to ugrupowania przestępcze, które — przy pomocy różnych dodatkowych narzędzi, takich jak zestawy szkodliwych narzędzi wykorzystujących luki w zabezpieczeniach (tzw. exploity) i spam — dostarczają oprogramowanie ransomware udostępnione przez programistów.
Na samym dole ekosystemu znajdują się partnerzy. Przy użyciu różnych technik pomagają właścicielom danej struktury rozprzestrzeniać szkodliwe oprogramowanie w zamian za „odsetki” od kwoty okupu otrzymanego przez właścicieli programu. Aby zostać uczestnikiem programów partnerskich, wystarczy mieć chęci, gotowość do popełnienia nielegalnych czynów i kilka bitcointów.
Według szacunków Kaspersky Lab całkowite dzienne przychody z takiego programu partnerskiego mogą sięgać dziesiątek, a nawet setek tysięcy dolarów, z czego około 60% zostaje w kieszeni przestępców jako czysty zysk.
Co więcej, podczas badania ekosystemu przestępczego oraz w wyniku licznych operacji reagowania na incydenty badacze z Kaspersky Lab zdołali zidentyfikować kilka dużych grup rosyjskojęzycznych przestępców specjalizujących się w rozwijaniu i dystrybucji szyfrującego oprogramowania ransomware. Ugrupowania te mogą zrzeszać dziesiątki przestępców, z których każdy posiada własny program partnerski, a lista ich celów obejmuje nie tylko zwykłych użytkowników internetu, ale również małe i średnie firmy, a nawet korporacje. O ile początkowo ugrupowania te brały na celownik użytkowników i podmioty z Rosji oraz Wspólnoty Niepodległych Państw, obecnie kierują swoją uwagę na firmy zlokalizowane w innych częściach świata.
Trudno powiedzieć, dlaczego tak wiele rodzin oprogramowania ransomware powstało w krajach rosyjskojęzycznych. O wiele ważniejsze jest to, że obecnie są one tworzone nie tylko przez niewielkie ugrupowania o ograniczonych możliwościach, ale także przez ogromne siatki przestępcze, które posiadają zasoby i intencje, aby atakować nie tylko cele w Rosji. Podobną sytuację obserwowaliśmy w przypadku ugrupowań stosujących szkodliwe oprogramowanie finansowe, takie jak Lurk. One również zaczynały od masowych ataków na użytkowników bankowości online, a następnie zmieniły się w wyrafinowane ugrupowania potrafiące okradać duże organizacje, takie jak banki. Jak powiedział Sun Tzu, jeśli znasz wroga i samego siebie, nie musisz obawiać się wyniku stu bitew. Dlatego stworzyliśmy ten przegląd: gangi stosujące oprogramowanie ransomware stają się potężnymi wrogami, dlatego zarówno dla ogółu, jak i społeczności dbającej o bezpieczeństwo niezwykle ważne jest to, abyśmy dowiedzieli się o nich jak najwięcej — powiedział Anton Iwanow, badacz ds. cyberbezpieczeństwa w Kaspersky Lab.
Więcej informacji na temat działania rosyjskojęzycznego cyberprzestępczego ekosystemu opartego na ransomware znajduje się w serwisie SecureList.pl prowadzonym przez Kaspersky Lab: https://kas.pr/LAe1.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.