Атаки програм-вимагачів складаються з екосистеми акторів. Є реклама та надання послуг і партнерства на спеціалізованих темних веб-маркетплейсах і форумах. Оператор програм-вимагачів отримує від 20 до 40 відсотків прибутку, решта залишається у партнера. . Бізнес-доступ від 50 доларів США.
Атаки програм-вимагачів, які шифрують дані та вимагають викуп, вражають компанії будь-якого розміру та галузі. Легко може створитися враження, що актори діють довільно. Однак насправді за цим стоїть складна екосистема з багатьма різними акторами, кожен з яких виконує окремі ролі. З нагоди Дня боротьби з програмами-вимагачами Kaspersky надає інформацію про складну екосистему, що стоїть за програмами-вимагачами, у новому звіті [1].
Екосистема програм-вимагачів шукає партнерів
Приклад пропозиції: тут пропонується віддалений доступ користувача до компанії (Зображення: Kaspersky).
Розробники, бот-майстри, постачальники облікових даних або оператори програм-вимагачів: екосистема програм-вимагачів складається з різноманітних гравців. Усі вони пропонують різні послуги через рекламу в Darknet [2]. Незалежні відомі професійні групи зазвичай не відвідують такі веб-сайти, але, наприклад, REvil, який останнім часом все частіше націлюється на організації, тепер регулярно публікує свої пропозиції та новини через партнерські програми. Це створює партнерство між оператором програм-вимагачів і клієнтом, при цьому оператор програм-вимагачів отримує від 20 до 40 відсотків прибутку як продавець, а решта 60-80 відсотків залишаються за «партнером-партнером». Відбір партнерів відбувається за складним процесом із правилами, встановленими операторами програм-вимагачів, зокрема географічними обмеженнями чи політичними пристрастями, тоді як жертви програм-вимагачів обираються з метою максимізації користі.
Звичайна гонитва за наживою
Продавці та клієнти чи партнери мають спільний пошук прибутку, тому найбільш заражені організації часто стають простішими цілями, до яких особливо легко отримати доступ. Такі доступи продаються на аукціонних платформах або пропонуються на форумах Darknet за фіксованими цінами від 50 доларів США. Зловмисниками є переважно власники ботнетів, які беруть участь у масштабних і широкомасштабних кампаніях і оптом продають доступ до пристроїв своїх жертв. Постачальники облікових даних, з іншого боку, завжди шукають оприлюднені вразливості в підключеному до Інтернету програмному забезпеченні, такому як програми VPN або шлюзи електронної пошти, які вони можуть використовувати для проникнення в організації.
Оператори програм-вимагачів зазвичай продають зразки зловмисного програмного забезпечення та конструктори програм-вимагачів за 300–4.000 доларів США. Ще одна бізнес-модель — програмне забезпечення-вимагач як послуга, де програмне забезпечення-вимагач пропонується з постійною підтримкою від розробників за 120 доларів США на місяць або 1.900 доларів США на рік.
Разом обговорюйте ризики та вживайте контрзаходів
У темній мережі програми-вимагачі пропонуються як передплата у вигляді різних пакетів із терміном дії 1, 6 і 12 місяців із інформацією про продукти та цінами (Зображення: Kaspersky).
«Протягом останніх двох років ми спостерігаємо, як кіберзлочинці стали сміливішими, коли мають справу з програмами-вимагачами», — сказав Крейг Джонс, директор відділу кіберзлочинності Інтерполу. «Такі атаки більше не обмежуються великими корпораціями та державними організаціями. Оператори програм-вимагачів готові атакувати практично будь-яку організацію, незалежно від її розміру. Індустрія програм-вимагачів є складною галуззю, яка включає багато різних гравців з різними ролями. Щоб щось з цим зробити, нам потрібно дізнатися, як це працює, і боротися з цим як один. День боротьби з програмами-вимагачами – це гарна нагода підвищити обізнаність і нагадати громадськості про важливість використання ефективних методів безпеки. Глобальна програма боротьби з кіберзлочинністю Інтерполу та наші партнери повністю віддані справі зменшення глобального впливу програм-вимагачів і захисту суспільства від шкоди, спричиненої цією зростаючою загрозою».
Різноманітна екосистема програм-вимагачів
«Екосистема програм-вимагачів є багатогранною, і на карту поставлено багато інтересів», — додає Дмитро Галов, дослідник безпеки Глобальної дослідницько-аналітичної групи Kaspersky (GReAT). «Це ринок, який постійно змінюється, на ньому багато гравців, одні досить оппортуністичні, інші дуже професійні та кмітливі. Вони не вибирають конкретних цілей, але можуть атакувати будь-яку організацію, незалежно від розміру, якщо отримають доступ до системи. Ваш бізнес процвітає і не скоро зникне. На щастя, досить прості заходи безпеки можуть зупинити зловмисників. Стандартні процедури, такі як регулярне оновлення програмного забезпечення та резервне копіювання, вже допомагають».
«Ефективні заходи протидії екосистемі програм-вимагачів можна вжити лише після того, як її основи дійсно зрозуміли», — додав Іван Квятковський, старший дослідник безпеки Глобальної дослідницько-аналітичної групи Kaspersky (GReAT). «Завдяки нашому звіту ми сподіваємося допомогти зрозуміти, як саме організовуються атаки програм-вимагачів, щоб спільнота ІТ-безпеки могла вжити відповідних заходів протидії».
Більше SecureList на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/