W 2016 roku ponad 75% szyfrujących programów ransomware pochodziło z rosyjskojęzycznego podziemia


W 2016 roku ponad 75% szyfrujących programów ransomware pochodziło z rosyjskojęzycznego podziemia
2017-02-15
Spośród 62 nowych rodzin szkodliwego oprogramowania ransomware szyfrującego dane wykrytych przez badaczy z Kaspersky Lab w 2016 r. co najmniej 47 zostało stworzonych przez rosyjskojęzycznych cyberprzestępców.

To jedno z ustaleń analizy rosyjskojęzycznego podziemia ransomware przeprowadzonej przez badaczy z Kaspersky Lab. W analizie ustalono również, że niewielkie ugrupowania o ograniczonych możliwościach stają się ogromnymi przedsiębiorstwami przestępczymi, które posiadają zarówno zasoby, jak i intencje atakowania celów prywatnych oraz korporacyjnych na całym świecie.

Kryptograficzne oprogramowanie ransomware rodzaj szkodliwego oprogramowania, które szyfruje pliki swojej ofiary i żąda okupu w zamian za przywrócenie dostępu do danych to obecnie jeden z najbardziej niebezpiecznych rodzajów cyberzagrożeń. Według telemetrii Kaspersky Lab tego rodzaju szkodliwe oprogramowanie zaatakowało w ubiegłym roku ponad 1 445 000 użytkowników (łącznie z firmami) na całym świecie. Aby lepiej zrozumieć charakter tych ataków, badacze z Kaspersky Lab dokonali przeglądu rosyjskojęzycznego podziemia przestępczego. Jednym z głównych wniosków, jakie wyciągnęli, jest to, że zaobserwowany w ostatnich latach wzrost liczby ataków przy użyciu oprogramowania ransomware wynika z niezwykle elastycznego i przyjaznego dla przestępców podziemnego ekosystemu, który pozwala przeprowadzać kampanie przy użyciu narzędzi ransomware, niezależnie od umiejętności technicznych czy zasobów finansowych. 

Badacze z Kaspersky Lab zidentyfikowali trzy poziomy udziału przestępców w biznesie związanym z ransomware: 

·         tworzenie i aktualizacja nowych rodzin oprogramowania ransomware,

·         rozwój i wsparcie programów partnerskich służących do dystrybucji ransomware,

·         udział w tych programach w charakterze partnerów.

W przypadku uczestnictwa pierwszego typu niezbędne jest posiadanie umiejętności na zaawansowanym poziomie w zakresie pisania kodu. Przestępcy, którzy rozwijają nowe odmiany oprogramowania ransomware, tworzą kluczowy element całego ekosystemu.  

Na drugim szczeblu hierarchii znajdują się osoby opracowujące programy partnerskie. Są to ugrupowania przestępcze, które przy pomocy różnych dodatkowych narzędzi, takich jak zestawy szkodliwych narzędzi wykorzystujących luki w zabezpieczeniach (tzw. exploity) i spam dostarczają oprogramowanie ransomware udostępnione przez programistów. 

Na samym dole ekosystemu znajdują się partnerzy. Przy użyciu różnych technik pomagają właścicielom danej struktury rozprzestrzeniać szkodliwe oprogramowanie w zamian za „odsetki” od kwoty okupu otrzymanego przez właścicieli programu. Aby zostać uczestnikiem programów partnerskich, wystarczy mieć chęci, gotowość do popełnienia nielegalnych czynów i kilka bitcointów.   

Według szacunków Kaspersky Lab całkowite dzienne przychody z takiego programu partnerskiego mogą sięgać dziesiątek, a nawet setek tysięcy dolarów, z czego około 60% zostaje w kieszeni przestępców jako czysty zysk.  

Co więcej, podczas badania ekosystemu przestępczego oraz w wyniku licznych operacji reagowania na incydenty badacze z Kaspersky Lab zdołali zidentyfikować kilka dużych grup rosyjskojęzycznych przestępców specjalizujących się w rozwijaniu i dystrybucji szyfrującego oprogramowania ransomware. Ugrupowania te mogą zrzeszać dziesiątki przestępców, z których każdy posiada własny program partnerski, a lista ich celów obejmuje nie tylko zwykłych użytkowników internetu, ale również małe i średnie firmy, a nawet korporacje. O ile początkowo ugrupowania te brały na celownik użytkowników i podmioty z Rosji oraz Wspólnoty Niepodległych Państw, obecnie kierują swoją uwagę na firmy zlokalizowane w innych częściach świata.    

Trudno powiedzieć, dlaczego tak wiele rodzin oprogramowania ransomware powstało w krajach rosyjskojęzycznych. O wiele ważniejsze jest to, że obecnie są one tworzone nie tylko przez niewielkie ugrupowania o ograniczonych możliwościach, ale także przez ogromne siatki przestępcze, które posiadają zasoby i intencje, aby atakować nie tylko cele w Rosji. Podobną sytuację obserwowaliśmy w przypadku ugrupowań stosujących szkodliwe oprogramowanie finansowe, takie jak Lurk. One również zaczynały od masowych ataków na użytkowników bankowości online, a następnie zmieniły się w wyrafinowane ugrupowania potrafiące okradać duże organizacje, takie jak banki. Jak powiedział Sun Tzu, jeśli znasz wroga i samego siebie, nie musisz obawiać się wyniku stu bitew. Dlatego stworzyliśmy ten przegląd: gangi stosujące oprogramowanie ransomware stają się potężnymi wrogami, dlatego zarówno dla ogółu, jak i społeczności dbającej o bezpieczeństwo niezwykle ważne jest to, abyśmy dowiedzieli się o nich jak najwięcej powiedział Anton Iwanow, badacz ds. cyberbezpieczeństwa w Kaspersky Lab.

Więcej informacji na temat działania rosyjskojęzycznego cyberprzestępczego ekosystemu opartego na ransomware znajduje się w serwisie SecureList.pl prowadzonym przez Kaspersky Lab: https://kas.pr/LAe1.  

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.

Nadesłał:

Kaspersky Lab Polska Sp. z o.o.
http://kaspersky.pl

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl