Ecosistemul ransomware: complex, cu multe interese în joc
Reading Time: 3 minuteRansomware-ul se află pe buzele tuturor, de fiecare dată când companiile discută despre amenințările cibernetice cu care se vor confrunta în 2021. Atacatorii și-au construit brand-urile și sunt mai încrezători în progresele lor ca niciodată, știrile despre organizații care au avut, deja, parte de atacuri ransomware în mod constant fiind pe primele pagini ale ziarelor. Dar, plasându-se sub lumina reflectoarelor, astfel de grupuri ascund complexitatea reală a ecosistemului ransomware.
Pentru a ajuta organizațiile să înțeleagă modul în care funcționează ecosistemul ransomware și cum să-l combată, cel mai recent raport al cercetătorilor Kaspersky, cuprinde detalii culese de pe forumurile
darknet, o perspectivă asupra bandelor REvil și Babuk și nu numai, și demitizează unele dintre poveștile care circulă despre ransomware. Când vrei să descoperi mai multe despre această lume interlopă, trebuie să te aștepți că are multe fațete.
Dark web
Ca orice industrie, ecosistemul ransomware cuprinde mulți jucători care își asumă diferite roluri. Contrar credinței că bandele de răscumpărare sunt de fapt bande – unite, au trecut prin toate situațiile împreună, grupări de tipul Godfather, realitatea este mai asemănătoare cu lumea din „The Gentlemen” a lui Guy Ritchie, cu un număr semnificativ de actori diferiți – dezvoltatori, botmasteri, vânzători de acces, operatori de ransomware – implicați în majoritatea atacurilor, furnizându-și servicii reciproc prin intermediul piețelor de pe dark web.
Acești actori se întâlnesc pe forumuri specializate darknet unde pot găsi anunțuri actualizate în mod regulat prin care se oferă servicii și parteneriate. Jucătorii importanți, implicați în atacurile mari, care își desfășoară activitatea pe cont propriu, nu frecventează astfel de site-uri, cu toate acestea, grupuri cunoscute, cum ar fi REvil, care au atacat din ce în ce mai multe organizații în ultimele trimestre, își publică ofertele și știrile în mod regulat, folosind programe afiliate. Acest tip de implicare presupune un parteneriat între operatorul grupului de ransomware și afiliat, operatorul de ransomware reținând o cotă de profit cuprinsă între 20-40%, în timp ce restul de 60-80% rămâne la afiliat.
„Ecosistemul ransomware este unul complex, cu multe interese în joc. Este o piață fluidă, cu mulți jucători, unii destul de oportunisti, alții – foarte profesioniști și avansați. Ei nu aleg ținte specifice, pot merge către orice organizație – o companie mare sau o afacere mică, atâta timpâ cât pot avea acces la ele. Mai mult, afacerile lor sunt înfloritoare, fapt care arată că nu vor dispărea prea curând”, comentează Dmitry Galov, cercetător în securitate la echipa globală de cercetare și analiză a Kaspersky. „Vestea bună este că utilizarea chiar și a unor măsuri de securitate destul de simple poate îndepărta atacatorii de organizații, așa că practicile standard, cum ar fi actualizări periodice de software și copii de rezervă, izolate, ajută, dar și există mult mai multe lucruri pe care organizațiile le pot face pentru a se proteja.”
De la 50 de dolari
Întrucât persoanele care infectează organizațiile și cele care operează efectiv ransomware-ul sunt grupuri diferite, legate doar de dorința de a profita, cele mai multe organizații infectate sunt adesea ținte ușoare – în esență, cele la care atacatorii au reușit să aibă acces mai simplu. Ar putea fi atât atacatori care lucrează în cadrul programelor afiliate, cât și operatori independenți care vând ulterior accesul – într-o formă de licitație sau ca o soluție, începând de la 50 de dolari. Acești atacatori sunt, de cele mai multe ori, proprietari de botnets care lucrează la campanii de anvergură și vând accesul la echipamentele victimelor en gros alături de vânzători de acces care caută vulnerabilități dezvăluite public în software-ul conectat, cum ar fi dispozitivele VPN sau gateway-urile de e-mail, vulnerabilități pe care le pot folosi ulterior
pentru a se infiltra în organizații.
„În ultimii doi ani, am văzut cum infractorii cibernetici au devenit mai îndrăzneți în utilizarea ransomware-ului. Organizațiile vizate de astfel de atacuri nu se limitează la corporații și organizații guvernamentale – operatorii de ransomware sunt gata să intre în culisele oricărei companii, indiferent de dimensiune. Este clar că industria ransomware-ului în sine este una complex, care implică mulți actori diferiți cu roluri diferite. Pentru a lupta împotriva lor, trebuie să ne educăm cu privire la modul în care funcționează și să luptăm unitar împotriva lor. Programul global de criminalitate cibernetică al INTERPOL, împreună cu partenerii noștri, este hotărât să reducă impactul global al ransomware-ului și să protejeze comunitățile de daunele cauzate de această amenințare tot mai presantă”, comentează Craig Jones, Director or Cybercrime, INTERPOL.
Urmăriți Revista Biz și pe Google News. Abonamente Revista Biz
