Gangi ransomware aktywnie poszukują zewnętrznych, doświadczonych partnerów, którzy na zlecenie będą realizować ataki wymierzone w firmy oraz instytucje. Na najlepszych z nich czekają wysokie prowizje. Według zajmującej się cyberbezpieczeństwem firmy Intel 471, istnieją ponad dwa tuziny takich gangów.
Jak zaznaczają specjaliści, grupy cyberprzestępcze oferują różne formy współpracy. W ostatnim czasie dużą popularnością cieszy się model Ransomware as a Service (RaaS), polegający na tym, że zamawiający otrzymuje skonfigurowane, gotowe do użycia oprogramowanie. W tym wypadku niepotrzebna jest podstawowa znajomość złośliwych programów czy administracji serwerami. Eksperci przyznają jednak, że w ten sposób sprzedawany jest ransomware z niższej półki, wykorzystywany do ataków na mniejsze firmy, a czasami gospodarstwa domowe. Znane gangi posiadają programy partnerskie, zachęcające do współpracy osoby legitymujące się pewnym doświadczeniem w zakresie działalności cyberprzestępczej.
Jak działają programy partnerskie dla hakerów?
Okazuje się, że podmioty stowarzyszone z ekipami ransomware mogą liczyć na atrakcyjne prowizje. Przykładowo program partnerski realizowany przez grupę Sodinokibi, znaną również jako REvil, pozwala uzyskać prowizję 30% od otrzymanego okupu, zaś w wypadku trzech udanych ataków wypłata wzrasta do 40%. Program partnerski działa w ten sposób, że operatorzy ransomware udostępniają współpracownikom złośliwy kod blokujący. Partner otrzymuje wersję kodu z wbudowanym unikalnym identyfikatorem. Za każdą ofiarę, która płaci okup, podmiot stowarzyszony dzieli się kwotą z operatorem ransomware, tłumaczą specjaliści od cyberbezpieczeństwa.
Obecnie istnieją ponad dwa tuziny gangów ransomware poszukujących zewnętrznych partnerów, wskazują specjaliści Intel 471. Choć na rynku działają również zwarte kręgi przestępcze, wykorzystujące bezpośrednie i prywatne kanały komunikacji, do których analitycy nie mają wglądu. Eksperci Intel 471 dzielą gangi na trzy poziomy, dokonując klasyfikacji na podstawie rozgłosu i czasu od jakiego prowadzą przestępczą działalność.
Trzy poziomy grup przestępczych
Najwyżej znajdują się ekipy, którym w ostatnich latach udało się zgarnąć z rynku setki milionów dolarów okupu. Zdecydowana większość z nich korzysta również z dodatkowych metod wymuszeń, takich jak kradzież poufnych informacji z sieci swoich ofiar i grożenie ich ujawnieniem, jeśli okup nie zostanie zapłacony. Do tej grupy Intel 471 zalicza DopplePaymer (używane w atakach na Pemex, Bretagne Télécom, Newcastle University, Düsseldorf University), Egregor (Crytek, Ubisoft, Barnes & Noble), Netwalker / Mailto (Equinix, UCSF, Michigan State University, Toll Group) i REvil / Sodinokibi (Travelex, lotnisko w Nowym Jorku, lokalne władze w Teksasie).
Jednak na samym szczycie rankingów znajduje się grupa Ryuk, jej ładunki wykryto w jednym na trzy ataki ransomware w ciągu ostatniego roku. Jest ona także znana z dostarczania swoich ładunków w ramach wieloetapowych ataków przy użyciu wektorów infekcji Trickbot, Emotet i BazarLoader. Podmioty stowarzyszone w Ryuk stoją również za ogromną falą ataków na amerykański system opieki zdrowotnej.
Na drugim poziomie przedstawiciele Intel 471 umieścili ekipy, które powiększyły swoje wpływy w bieżącym roku – SunCrypt, Conti, Clop, Ragnar Locker, Pysa / Mespinoza, Avaddon, DarkSide (uważane za odłamek REvil). Z kolei najniższą pozycję w hierarchii zajmują nowo utworzone gangi – Nemty, Wally, XINOF, Zeoticus, CVartek.u45, Muchlove, Rush, Lolkek, Gothmog i Exorcist. Jak do tej pory nie udało się uzyskać informacji na temat liczby udanych ataków przeprowadzonych przez wymienione grupy czy uzyskanych przez nie okupów.
„Sam fakt, iż gangi ransomware poszukują partnerów ma swoje dobre i złe strony. W ten sposób przestępcy rozszerzają zasięg swojego działania. Ale warto zwrócić uwagę, że jednocześnie otwierają się na zewnątrz, co pozwala na ich inwigilację przez organy ścigania. Poza tym niektóre ekipy zlecając zadania podmiotom zewnętrznym mogą utracić reputację, jeśli tak możemy mówić w przypadku grup przestępczych. Mam tutaj na myśli takie grupy jak np. Suncrypt czy DarkSide, które otwarcie deklarują, że nie będą nigdy atakować placówek oświatowych oraz służby zdrowia, nie można przecież wykluczyć, że partnerzy ich nie posłuchają i zaszyfrują dane na serwerach należących do szpitala” – komentuje Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.
Ransomware jest w 2020 roku ogromnym problemem dla wielu organizacji oraz instytucji. Jak wynika z raportu Bitdefendera „Mid-Year Threat Landscape Report”, liczba ataków realizowanych za pośrednictwem tego typu złośliwych programów w pierwszym półroczu bieżącego roku wzrosła o 715% w porównaniu z analogicznym okresem roku ubiegłego.
