Успехът на рансъмуер атаките: Цени за под долар и RaaS

kaldata   06/08/2022 23:30

Да се каже, че математиката е единствената причина за дългогодишния успех на рансъмуер заплахите би било доста опростено. Възникнали преди повече от 30 години, като форма на атака, криптовирусите търпят постоянна еволюция, както и метода на работа на техните създатели. Според наскоро публикувано проучване стават ясни и едни от главните причини за техния успех днес: цени, които понякога са по-ниски от долар за изходния код на зловредна програма, настоящият бизнес модел, използван от мошениците и добрата комуникация в подземното пространство.

Dark Reading привеждат изследване на Venafi и Forensic Pathways, в което са анализирани близо 35 милиона адреса от даркуеб пространството между ноември 2021 и март тази година. Чрез него са открити 475 уебсайта, чиито страници са изпълнени с предложения за продажба и покупка на десетки рансъмуер проби и изходния код на тези програми, услуги по създаване и изменение на зловредния код, както и подробни предложения за включване в RaaS схеми. RaaS или Ransomware-as-a-Service е предпочитан бизнес модел за създателите на зловреден код, при който киберпрестъпниците отдават под наем кодова и сървърна инфраструктура на други киберпрестъпници в замяна на процент от печалбата при плащането на откуп.

В хода на своето проучване специалистите са идентифицирали 30 различни рансъмуер семейства, които се предлагат за продан, като се натъкват на популярни заплахи, като DarkSide/BlackCat, Babuk, Egregor, GoldenEye и др., които са известни с участието си в някои от най-известните кибератаки в последните години. Това, което е направило впечатление на двете компании са огромните разлики в цените на продавания код. Те варират – от $1262 за DarkSide, станал известен покрай Colonial Pipeline, до $0.99 за някои негови варианти.

Кевин Бочек от Venafi обяснява, че работата на разработчика на зловреден код често е сходна с тази на обикновените програмисти, които използват готов открит код, за да създадат на тази основа собствени решения, а понякога „славата“ на дадено рансъмуер семейство го прави по-привлекателно от други проби. Като например Babuk, който е отговорен за атаката към полицейското управление във Вашингтон миналата година. „Разбираемо е защо някой би искал да използва именно тази програма за основа на свой рансъмуер вариант“, обяснява Бочек.

Не са само цената обаче и сериозната печалба, които привличат разпространителите на зловреден код. Умели хакери помагат и на неумели в техническо отношение кандидат-престъпници да стартират свои собствени кампании с обещание за сериозно възнаграждение. „Изследването откри, че освен, че рансъмуер пробите могат да се поръчат направо от Тъмната мрежа, някои от тези „продавачи“ предлагат допълнителни услуги, като пълна техническа поддръжка, допълнителни функционалности и подробни ръководства. А заедно с цената и бизнес модели на подземната икономика, тук идва ред и на доброто сътрудничество между киберпрестъпниците с различни „специализации“. Става дума за т.нар. „брокери на първоначален достъп“ (Initial Access Brokers, IABs). Това са киберпрестъпници, които продават достъп до вече компрометирани мрежи и системи.

Dark Reading привеждат доклад на Intel471 от по-рано тази година, в който се изследват все по-близките връзки между тези два типа криминални структури. Те например посочват киберпрестъпна банда с името Jupiter, която предлагала достъп до 1195 компрометирани мрежи през първите три месеца на годината. Друга, с име Neptune, за същия период на време, предоставяла 1300 записа за достъп. Що се отнася до услугите, чрез които е осигурен този достъп, то това често са продукти и услуги, като Citrix, Microsoft Remote Desktop, Pulse Secure VPN и др. Именно откраднати записи за VPN достъп е и често най-скъпата „стока“, като цените варират спрямо мащаба на организацията и нивото на достъп, който се осигурява.

Според друго изследване, на Check Point, рансъмуер пейзажа е силно фрагментиран днес. Противно на честото схващане, че има няколко големи оператора тук, специалистите на компанията обясняват, че всъщност в 72% от случаите, в които са засичали рансъмуер, става дума за уникални проби.

Cookie Settings