Dintre cele 62 de noi familii crypto-ransomware descoperite de cercetatorii Kaspersky Lab in 2016, cel putin 47 au fost dezvoltate de infractori cibernetici vorbitori de limba rusa. Aceasta este una dintre concluziile unei prezentari a cercetatorilor Kaspersky Lab despre comunitatea infractionala ransomware vorbitoare de limba rusa. Programele crypto-ramsomware - un tip de malware care cripteaza documentele victimelor si cere o rascumparare in schimbul decriptarii – sunt in prezent unul dintre cele mai periculoase tipuri de malware.

Analiza efectuata a scos la iveala faptul ca grupurile mici, cu resurse limitate, se transforma in mari intreprinderi infractionale care au resursele si intentia sa atace tinte private si organizationale din toata lumea.

Potrivit datelor Kaspersky Lab, in 2016, peste 1.445.000 de utilizatori de pe glob (inclusiv companii) au fost atacati cu acest tip de malware. Pentru a putea intelege mai bine natura acestor atacuri, cercetatorii Kaspersky Lab au efectuat o analiza a comunitatii infractionale vorbitoare de limba rusa. Una dintre principalele concluzii este cea ca intensificarea atacurilor ransomware observate in anii trecuti este rezultatul unui ecosistem underground flexibil si foarte simplu de folosit, permitand infractorilor sa lanseze campanii crypto-ramsomware, aproape indiferent de nivelul abilitatilor de utilizare a computerelor sau de resursele financiare detinute.

Cercetatorii Kaspersky Lab au identificat trei niveluri ale implicarii infractionale in afacerea cu ransomware:

- Crearea si actualizarea unor noi familii ransomware;

- Dezvoltarea si oferirea de suport pentru programele afiliate care distribuie ransomware;

- Participarea la programe afiliate ca partener.

Primul tip de implicare pretinde participantului sa aiba cunostinte avansate de programare. Infractorii cibernetici care creeaza noi programe ransomware sunt cei mai privilegiati membri, deoarece ei dezvolta elementele cheie ale intregului ecosistem.

La nivelul secundar al ierarhiei sunt dezvoltatorii programelor afiliate. Acestia sunt comunitati infractionale care, cu ajutorul diverselor instrumente, precum kit-urile de exploit-uri si malware spam, livreaza programele ransomware.

Partenerii programelor afiliate sunt la nivelul inferior al intregului sistem. Utilizand diverse tehnici, ei ii ajuta pe detinatorii programelor afiliate sa distribuie continutul malware in schimbul unei parti din rascumpararea primita de acestia. Participantii la aceste programe afiliate nu trebuie sa aiba decat intentia si disponibilitatea de a face activitati ilegale si cateva monede bitcoins.

Conform estimarilor Kaspersky Lab, venitul zilnic total al unui program afiliat poate atinge zeci sau chiar sute de mii de dolari, dintre care aproape 60% raman in buzunarele infractorilor ca profit net.

In plus, pe parcursul cercetarii ecosistemului infractional si a numeroaselor operatiuni de raspuns la incidente, expertii Kaspersky Lab au reusit sa identifice cateva grupuri mari de infractori vorbitori de limba rusa, specializati in dezvoltarea si distributia de programe crypto-ransomware. Aceste grupuri ar putea sa reuneasca zeci de parteneri, fiecare cu propriul program afiliat, iar lista celor vizati include nu doar utilizatori obisnuiti de Internet, ci si companii mici si mijlocii sau chiar corporatii. Dupa ce initial au vizat doar utilizatori si organizatii din Rusia si din alte tari apartinand Comunitatii Statelor Independente, aceste grupuri iau acum in vizor companii localizate in alte regiuni ale lumii.

“Este dificil sa spunem de ce atat de multe familii ransomware au la origine vorbitori de limba rusa, dar si mai important este ca observam acum dezvoltarea lor de la grupuri mici, avand capacitati limitate, catre intreprinderi infractionale mari, care au resursele si intentia de a ataca si alte tinte in afara celor din Rusia”, spune Anton Ivanov, Security Researcher la Kaspersky Lab si autorul lucrarii.

“Am vazut o situatie asemanatoare cu grupurile de malware financiar precum Lurk. Si ei au inceput tot cu atacuri masive la adresa utilizatorilor de online banking, iar apoi au evoluat catre grupuri complexe, capabile sa jefuiasca organizatii mari precum bancile. Sun Tzu spunea: “daca iti cunosti dusmanul si te cunosti pe tine insuti, nu trebuie sa-ti fie frica de rezultatul a o suta de batalii”. Din acest motiv am facut aceasta analiza: bandele ransomware se tranforma in dusmani foarte puternici, iar pentru publicul larg si comunitatea de securitate IT este important sa aflam cat mai mult posibil despre ei”, incheie Anton Ivanov.