Το ransomware αναδεικνύεται σε μια από τις πιο βασικές ψηφιακές απειλές, που ενδέχεται να αντιμετωπίσουν οι επιχειρήσεις το 2021.  Οι επιτιθέμενοι είναι πιο έτοιμοι και πιο τολμηροί παρά ποτέ, με οργανισμούς, που πέφτουν συνεχώς θύματα ransomware, να βρίσκονται διαρκώς στα πρωτοσέλιδα.

Πιο έτοιμοι και τολμηροί από ποτέ οι ψηφιακοί εγκληματίες - Πώς λειτουργεί το οικοσύστημα των προγραμμάτων ransomwareΤα τελευταία δύο χρόνια, έχουμε δει ότι οι εγκληματίες στον κυβερνοχώρο έχουν γίνει πιο τολμηροί στη χρήση ransomware. Οι οργανισμοί, στους οποίους στοχεύουν τέτοιες επιθέσεις, δεν περιορίζονται σε εταιρείες και κυβερνητικούς οργανισμούς - οι φορείς εκμετάλλευσης ransomware είναι έτοιμοι να πλήξουν ουσιαστικά οποιαδήποτε επιχείρηση ανεξάρτητα από το μέγεθος.

Όπως κάθε βιομηχανία, το οικοσύστημα των προγραμμάτων ransomware αποτελείται από πολλούς παίκτες, που αναλαμβάνουν διάφορους ρόλους. Αυτοί οι φορείς συναντιούνται σε εξειδικευμένα φόρουμ στο darknet, όπου μπορεί κανείς να βρει τακτικά ενημερωμένες διαφημίσεις, που προσφέρουν υπηρεσίες και συνεργασίες.

“Διακεκριμένοι μεγάλοι παίκτες, που λειτουργούν μόνοι τους, δεν επισκέπτονται συχνά τέτοιες τοποθεσίες, ωστόσο, γνωστές συμμορίες, όπως η REvil, που έχουν στοχεύσει όλο και περισσότερο οργανισμούς τα τελευταία χρόνια, δημοσιοποιούν τις προσφορές και τα νέα τους σε τακτική βάση χρησιμοποιώντας προγράμματα συνεργατών”, αναφέρει σε σχετικό report της η Kaspersky.

Όπως εξηγούν οι αναλυτές, αυτός ο τύπος συμμετοχής προϋποθέτει συνεργασία μεταξύ του χειριστή της ομάδας ransomware και της θυγατρικής με τον χειριστή του ransomware λαμβάνοντας μερίδιο κέρδους, που κυμαίνεται από 20-40%, ενώ το υπόλοιπο 60-80% παραμένει στη θυγατρική.

Πως διαλέγουν θύματα

Οι ειδικοί διευκρινίζουν ότι η επιλογή των συνεργατών είναι μια τελειοποιημένη διαδικασία με βασικούς κανόνες, που καθορίζονται από τους φορείς εκμετάλλευσης του ransomware από την αρχή - συμπεριλαμβανομένων των γεωγραφικών περιορισμών και ακόμη και των πολιτικών απόψεων. Ταυτόχρονα, τα θύματα ransomware επιλέγονται ευκαιριακά.

Καθώς οι άνθρωποι, που μολύνουν οργανισμούς και αυτοί που λειτουργούν πραγματικά το ransomware, είναι διαφορετικές ομάδες, που σχηματίζονται μόνο από την επιθυμία για κέρδος, οι οργανισμοί που έχουν μολυνθεί είναι συχνά εύκολοι στόχοι. Ουσιαστικά, είναι αυτοί στους οποίους οι επιτιθέμενοι μπόρεσαν να αποκτήσουν ευκολότερα πρόσβαση.

Θα μπορούσαν να είναι και οι δύο φορείς, που εργάζονται στα προγράμματα θυγατρικών και οι ανεξάρτητοι φορείς, που αργότερα πωλούν πρόσβαση, σε μορφή δημοπρασίας ή ως ενημέρωση κώδικα, ξεκινώντας από $50. “Αυτοί οι επιτιθέμενοι, είναι συχνά ιδιοκτήτες botnet, που εργάζονται σε μαζικές και ευρείες εκστρατείες. Οι ίδιοι πωλούν μαζικά πρόσβαση στα μηχανήματα των θυμάτων και έχουν πρόσβαση σε πωλητές, που αναζητούν ευπάθειες, που αποκαλύπτονται δημόσια σε λογισμικό στο Διαδίκτυο, τις οποίες μπορούν να χρησιμοποιήσουν για να διεισδύσουν σε οργανισμούς”, εξηγεί η Kasprersky.

Τα φόρουμ ransomware φιλοξενούν και άλλους τύπους προσφορών. Ορισμένοι πάροχοι ransomware πωλούν δείγματα κακόβουλου λογισμικού και ransomware builders με κόστος από $300 έως $4.000, άλλοι προσφέρουν Ransomware-as-a-Service - την πώληση ransomware με συνεχή υποστήριξη από τους προγραμματιστές του, η οποία μπορεί να κυμαίνεται από $120 ανά μήνα έως $1.900 ανά ετήσιο πακέτο.