W 2016 roku ponad 75 proc. oprogramowania ransomware pochodziło z rosyjskiego podziemia
Spośród 62 nowych rodzin szkodliwego oprogramowania ransomware wykrytych przez badaczy z Kaspersky Lab w 2016 r. co najmniej 47 zostało stworzonych przez rosyjskojęzycznych cyberprzestępców. Ustalono również, że niewielkie ugrupowania o ograniczonych możliwościach stają się ogromnymi przedsiębiorstwami przestępczymi, które posiadają zarówno zasoby, jak i intencje atakowania celów prywatnych oraz korporacyjnych na całym świecie.
Kryptograficzne oprogramowanie ransomware - rodzaj szkodliwego oprogramowania, które szyfruje pliki swojej ofiary i żąda okupu w zamian za przywrócenie dostępu do danych - to obecnie jeden z najbardziej niebezpiecznych rodzajów cyberzagrożeń. Według telemetrii Kaspersky Lab, tego rodzaju szkodliwe oprogramowanie zaatakowało w ubiegłym roku ponad 1 445 000 użytkowników (łącznie z firmami) na całym świecie. Aby lepiej zrozumieć charakter tych ataków, badacze dokonali przeglądu rosyjskojęzycznego podziemia przestępczego. Jednym z głównych wniosków, jakie wyciągnęli, jest to, że zaobserwowany w ostatnich latach wzrost liczby ataków przy użyciu oprogramowania ransomware wynika z niezwykle elastycznego i przyjaznego dla przestępców podziemnego ekosystemu, który pozwala przeprowadzać kampanie przy użyciu narzędzi ransomware, niezależnie od umiejętności technicznych czy zasobów finansowych.
Badacze zidentyfikowali trzy poziomy udziału przestępców w biznesie związanym z ransomware:
• tworzenie i aktualizacja nowych rodzin oprogramowania ransomware,
• rozwój i wsparcie programów partnerskich służących do dystrybucji ransomware,
• udział w tych programach w charakterze partnerów.
W przypadku uczestnictwa pierwszego typu niezbędne jest posiadanie umiejętności na zaawansowanym poziomie w zakresie pisania kodu. Przestępcy, którzy rozwijają nowe odmiany oprogramowania ransomware, tworzą kluczowy element całego ekosystemu.
Na drugim szczeblu hierarchii znajdują się osoby opracowujące programy partnerskie. Są to ugrupowania przestępcze, które - przy pomocy różnych dodatkowych narzędzi, takich jak zestawy szkodliwych narzędzi wykorzystujących luki w zabezpieczeniach (tzw. exploity) i spam - dostarczają oprogramowanie ransomware udostępnione przez programistów.
Na samym dole ekosystemu znajdują się partnerzy. Przy użyciu różnych technik pomagają właścicielom danej struktury rozprzestrzeniać szkodliwe oprogramowanie w zamian za „odsetki” od kwoty okupu otrzymanego przez właścicieli programu. Aby zostać uczestnikiem programów partnerskich, wystarczy mieć chęci, gotowość do popełnienia nielegalnych czynów i kilka bitcointów.
Według szacunków, całkowite dzienne przychody z takiego programu partnerskiego mogą sięgać dziesiątek, a nawet setek tysięcy dolarów, z czego około 60 proc. zostaje w kieszeni przestępców jako czysty zysk.
Co więcej, podczas badania ekosystemu przestępczego oraz w wyniku licznych operacji reagowania na incydenty badacze zdołali zidentyfikować kilka dużych grup rosyjskojęzycznych przestępców specjalizujących się w rozwijaniu i dystrybucji szyfrującego oprogramowania ransomware. Ugrupowania te mogą zrzeszać dziesiątki przestępców, z których każdy posiada własny program partnerski, a lista ich celów obejmuje nie tylko zwykłych użytkowników internetu, ale również małe i średnie firmy, a nawet korporacje. O ile początkowo ugrupowania te brały na celownik użytkowników i podmioty z Rosji oraz Wspólnoty Niepodległych Państw, obecnie kierują swoją uwagę na firmy zlokalizowane w innych częściach świata.
"Trudno powiedzieć, dlaczego tak wiele rodzin oprogramowania ransomware powstało w krajach rosyjskojęzycznych. O wiele ważniejsze jest to, że obecnie są one tworzone nie tylko przez niewielkie ugrupowania o ograniczonych możliwościach, ale także przez ogromne siatki przestępcze, które posiadają zasoby i intencje, aby atakować nie tylko cele w Rosji. Podobną sytuację obserwowaliśmy w przypadku ugrupowań stosujących szkodliwe oprogramowanie finansowe, takie jak Lurk. One również zaczynały od masowych ataków na użytkowników bankowości online, a następnie zmieniły się w wyrafinowane ugrupowania potrafiące okradać duże organizacje, takie jak banki. Jak powiedział Sun Tzu, 'jeśli znasz wroga i samego siebie, nie musisz obawiać się wyniku stu bitew'. Dlatego stworzyliśmy ten przegląd: gangi stosujące oprogramowanie ransomware stają się potężnymi wrogami, dlatego zarówno dla ogółu, jak i społeczności dbającej o bezpieczeństwo niezwykle ważne jest to, abyśmy dowiedzieli się o nich jak najwięcej - powiedział Anton Iwanow, badacz ds. cyberbezpieczeństwa w Kaspersky Lab.
