Svaki put kada kompanije razmatraju sajber pretnje sa kojima će se najverovatnije suočiti u 2021. godini većina nas odmah pomisli na ransomware. Napadači su izgradili svoje brendove i smeliji su nego ikada pre u svojim napadima, što pokazuju vesti na naslovnim stranama o organizacijama koje se konstantno suočavaju sa ransomwareom. Ali postavljanjem sebe u centar pažnje, ovakve grupe skrivaju stvarnu složenost ransomware ekosistema. Kako bi pomogli organizacijama da bolje razumeju kako ransomware ekosistem funkcioniše i kako da se izbore sa njim, najnoviji izveštaj istraživača kompanije Kaspersky se bavi dubinskom analizom darknet foruma, REvil i Babuk bandi i još mnogo toga, i razotkriva neke od mitova o ransomwareu. Kada zađete još dublje u ovaj ‘podzemni’ svet, očekivano je da ćete tamo pronaći još mnogo toga.
Kao i svaka druga industrija, ransomware ekosistem se sastoji od mnoštva igrača koji imaju različite uloge. Suprotno verovanju da su ransomware bande prave bande – bliske grupe koje su prošle kroz sve zajedno, u stilu filma „Kum”, stvarnost više liči na svet u Gaj Ričijevom „Džentlmenu”, uz značajan broj različitih aktera – programera, botmastera, prodavaca pristupa, ransomware operatora – koji su uključeni u većinu napada, i svojim uslugama snabdevaju jedni druge kroz tržište na dark vebu.
Ovi akteri se upoznaju na specijalizovanim darknet forumima gde se mogu pronaći regularno ažurirane reklame koje nude usluge i partnerstva. Istaknuti, veliki igrači koji rade samostalno ne posećuju takve sajtove, međutim, dobro poznate grupe kao što je REvil, koje u poslednjih nekoliko kvartala sve više targetiraju organizacije, redovno objavljuju svoje ponude i vesti korišćenjem partnerskih programa. Ovakav vid povezanosti ukazuje na partnerstvo između operatora ransomware grupe i partnera, pri čemu udeo profita koji ransomware operator uzima iznosi između 20% i 40%, dok ostalih 60 do 80% ostaje partneru.
Grupa REvil najavljuje novu sposobnost organizovanja poziva medijima i partnerima mete kako bi izvršila dodatni pritisak na plaćanje otkupa
Izbor partnera je detaljno određen proces u kome ransomware operatori određuju osnovna pravila od samog početka – uključujući geografska ograničenja, pa čak i političke stavove. Istovremeno, žrtve ransomwarea se biraju oportunistički.
S obzirom na to da su grupe koje inficiraju organizacije i one koje zapravo upravljaju ransomwareom različite grupe, udružene samo željom za profitom, inficirane organizacije su najčešće one do kojih je bilo najlakše doći. Oba aktera mogu da rade unutar partnerskih programa, a da nezavisni operatori kasnije prodaju pristup – na aukciji ili po fiksnoj ceni, počevši od samo 50 američkih dolara. Ovi napadači su najčešće vlasnici botneta koji rade na masovnim i široko rasprostranjenim kampanjama i naveliko prodaju pristup uređajima žrtve, i kontaktiraju prodavce koji su u potrazi za javno otkrivenim ranjivostima na softveru, kao što su VPN servisi ili i-mejl gateways, koje mogu da koriste za infiltriranje u organizacije.
Ransomware forumi su mesta na kojima se mogu pronaći i drugi tipovi ponuda. Pojedini ransomware operatori prodaju uzorke malvera i ransomware builder-e za bilo koju cenu od 300 do 4.000 američkih dolara, drugi nude Ransomware-as-a-Service – prodaja ransomwarea sa kontinuiranom podrškom njegovih programera, po ceni od 120 američkih dolara mesečno do 1.900 američkih dolara godišnje.
„U protekle dve godine primetili smo da su sajber kriminalci postali smeliji kada je reč o korišćenju ransomwarea. Takvim napadima nisu targetirane samo velike korporacije i vladine organizacije – ransomware operatori spremni su da napadnu bilo koju organizaciju, bez obzira na veličinu. Jasno je da je ransomware industrija sama po sebi složena i uključuje mnogo različitih aktera sa različitim ulogama. Da bismo se borili protiv njih, moramo se edukovati o tome kako oni rade i boriti se protiv njih kao jednog. Dan borbe protiv ransomwarea je dobra prilika da se istakne ova potreba i podseti javnost na važnost usvajanja efikasnih bezbednosnih praksi. INTERPOL-ov Global Cybercrime Programme, zajedno sa našim partnerima, odlučan je u nameri da smanji globalni uticaj ransomwarea i zaštiti zajednice od štete prouzrokovane ovom rastućom pretnjom “, komentariše Kreg Džons (Craig Jones), direktor sektora za sajber kriminal, INTERPOL.
„Ransomware ekosistem je složen, pri čemu se radi o velikom broju interesa. Reč je o fluidnom tržištu sa mnoštvom igrača, neki su oportunisti, drugi – veoma profesionalni i napredni. Oni ne biraju specifične mete, već mogu da napadnu bilo koju organizaciju – veliku kompaniju ili malo preduzeće, dokle god mogu da obezbede pristup njima. Osim toga, njihov posao cveta, i to se neće promeniti u skorijem periodu,” komentariše Dmitri Galov (Dmitry Galov) istraživač bezbednosti u globalnom timu za istraživanje i analizu, Kaspersky. „Dobra vest je da čak i jednostavne bezbednosne mere mogu da odvrate napadače od organizacije, tako da standardne prakse poput redovnih softverskih ažuriranja i pravljenja izolovanih kopija fajlova pomažu, a ima još dosta toga što organizacije mogu da urade kako bi se obezbedile.”
„Efikasne aktivnosti protiv ransomware ekosistema mogu biti preduzete samo nakon što postoji potpuno razumevanje njegove osnove. Ovim izveštajem želimo da otkrijemo kako se ransomware napadi zaista organizuju, tako da zajednica može da uspostavi odgovarajuće kontramere,” dodaje Ivan Kvijatkovski (Ivan Kwiatkowski), glavni istraživač bezbednosti u globalnom timu za istraživanje i analizu, Kaspersky.
Saznajte više o ransomware ekosistemu u izveštaju na Securelist.
Na Dan borbe protiv ransomwarea, 12. maja, kompanija Kaspersky podstiče organizacije da implementiraju ove najbolje prakse koje će pomoći u zaštiti vaše organizacije od ransomwrea: