Amenințările informatice criptovirale denumite ransomware, unde răufăcătorii cer recompensă în schimbul returnării datelor compromise ale victimelor, au căpătat o amploare considerabilă în ultimii ani. Dacă în 2017 cele mai mediatizate atacuri ransomware au fost WannaCry și GoldenEye, 2018 a fost dominat de familiile de ransomware SamSam și GandCrab. În timp ce celelalte mostre sunt într-un continuu declin, GandCrab rămâne cea mai prolifică și profitabilă familie de ransomware până în ziua de azi. Motivul? Operatorii GandCrab sunt profesioniști, nu amatori, și își conduc activitatea la fel ca un business. Iar asta face diferența.
Recompense croite pe tiparul victimei
Specialiștii în securitate informatică de la Bitdefender estimează că atacurile de tip ransomware cauzează în fiecare an pierderi de miliarde de dolari oamenilor și organizațiilor din toată lumea. Iar încasările cresc considerabil de la un an la altul.
Operatorii ransomware găsesc căi de atac din ce în ce mai sofisticate, folosesc algoritmi de criptare tot mai greu de spart și, nu în ultimul rând, au pus tunurile pe organizații mari, cum ar fi băncile, spitalele, furnizorii de energie, sau instituțiile guvernamentale.
"În timp ce amatorii lansează atacuri la întâmplare sperând să prindă orice victimă în plasă, profesioniștii își selectează cu atenție victimele, construind atacuri pe faze multiple, bine coordonate, asigurându-se că rămân invizibili pe parcursul atacului. Spre deosebire de amatori, profesioniștii nu cer mărunțiș, ci sume exorbitante în schimbul returnării datelor compromise. Este întocmai metoda de operare a dezvoltatorilor GandCrab", spune Filip Truță, analist în securitate informatică în cadrul Bitdefender.
După ce se infiltrează în infrastructura organizației vizate, atacatorii pornesc o campanie de recunoaștere unde determină valoarea datelor ce urmează a fi criptate. Aceștia apoi ajustează prețul recompensei întocmai.
"Dacă ținta e o organizație mică cu date moderat valoroase, recompensa cerută este de obicei una modestă, de ordinul sutelor de dolari. Dacă victima este o corporație cu venituri substanțiale și date prețioase sau sensibile, pe biletul de recompensă poate apărea și suma de un milion de dolari. Operatorii GandCrab au cerut până la 700.000 de dolari pentru a decripta un singur server infectat", spune specialistul Bitdefender.
GandCrab funcționează ca o companie
Cercetătorii în amenințări informatice de la Bitdefender au semnalat primele campanii ransomware sub semnătura GandCrab încă din ianuarie 2018. GandCrab și-a făcut cu adevărat simțită prezența în a doua jumătate a anului, când cota sa de piață ajungea la pragul de 50 de procente, conform telemetriei Bitdefender. Cu alte cuvinte, din miile de atacuri ransomware înregistrate în a doua jumătate a anului, jumătate au fost opera dezvoltatorilor GandCrab.
Unul din punctele forte ale acestui business – pentru că ransomware este, în toata puterea cuvântului, un business – este modelul de afiliere, unde operatorii monetizează GandCrab ca pe o franciză. Aceștia înrolează afiliați atrași pe Dark Web, le pun la dispoziție toate uneltele pentru a conduce atacuri – inclusiv departament non-stop de relații cu clienții – și percep un comision din profitul obținut.
Alt avantaj pe care GandCrab îl are în comparație cu alte familii de ransomware este evoluția sa agilă. În urma unor atacuri cheie anul trecut, experții Bitdefender au pus la dispoziție, gratuit, utilitare de decriptare pentru victimele GandCrab. Compania estimează că uneltele de decriptare au salvat victimelor în jur de 30 de milioane de dolari, însemnând bani care nu au mai ajuns la atacatori în schimbul informațiilor criptate. GandCrab a infectat până acum peste un milion de victime, iar decriptoarele pentru versiunile anterioare au fost descărcate de peste 400.000 de utilizatori. Însă, după fiecare decriptor lansat, răufăcătorii au lansat rapid o variantă actualizată de GandCrab, asigurându-și persistența pe piață.
Cea mai nouă versiune, niciodată ultima
Controlul asupra modelului de operare și actualizarea rapidă a acestei amenințări informatice ca urmare a eforturilor industriei și autorităților de a o combate au făcut GandCrab cea mai prolifică familie de ransomware de până acum. Cercetătorii Bitdefender încă înregistrează zilnic atacuri multiple sub semnătura GandCrab.
Ultima versiune de GandCrab înregistrată este 5.2, pentru care încă nu există decriptor. Nu este o certitudine că experții în criptografie vor reuși să spargă cel mai recent algoritm folosit de operatorii GandCrab. Singura certitudine este că GandCrab – și amenințarea ransomware în general – continuă în 2019 fără a da semne că ar încetini.
Cum să te ții departe de ransomware
Bitdefender și instituțiile de aplicare a legii implicate în dezvoltarea utilitarelor pentru GandCrab sfătuiesc utilizatorii infectați să nu plătească atacatorilor taxele de decriptare solicitate, ci să creeze copii ale datelor compromise și să se adreseze organelor de poliție.
"Plata recompensei e o idee cât se poate de proastă din trei motive. Victimele nu au nicio garanție că infractorii își vor respecta cuvântul și le vor reda accesul la date. Odată ce plătesc recompensa, ar putea fi țintite din nou de aceeași grupare, întrucât au deja un istoric de bun platnici. Nu în ultimul rând, încasările îi vor ajuta pe atacatori să dezvolte amenințări informatice din ce în ce mai sofisticate, ceea ce va duce pe termen lung la și mai multe victime infectate", mai spune Filip Truță de la Bitdefender.
Pentru a preveni infectarea cu ransomware, utilizatorilor li se recomandă să păstreze copii ale datelor importante, să folosească o soluție de securitate performantă și să evite să acceseze linkuri sau fișiere din email-uri nesolicitate.
