W 2016 roku ponad 75% szyfrującego oprogramowania ransomware pochodziło z rosyjskojęzycznego podziemia cyberprzestępczego
Spośród 62 nowych rodzin szkodliwego oprogramowania ransomware szyfrującego dane wykrytych przez badaczy z Kaspersky Lab w 2016 r. co najmniej 47 zostało stworzonych przez rosyjskojęzycznych cyberprzestępców. To jedno z ustaleń analizy rosyjskojęzycznego podziemia ransomware przeprowadzonej przez badaczy z Kaspersky Lab. W analizie ustalono również, że niewielkie ugrupowania o ograniczonych możliwościach stają się ogromnymi przedsiębiorstwami przestępczymi, które posiadają zarówno zasoby, jak i intencje atakowania celów prywatnych oraz korporacyjnych na całym świecie.
Kryptograficzne oprogramowanie ransomware — rodzaj szkodliwego oprogramowania, które szyfruje pliki swojej ofiary i żąda okupu w zamian za przywrócenie dostępu do danych — to obecnie jeden z najbardziej niebezpiecznych rodzajów cyberzagrożeń. Według telemetrii Kaspersky Lab tego rodzaju szkodliwe oprogramowanie zaatakowało w ubiegłym roku ponad 1 445 000 użytkowników (łącznie z firmami) na całym świecie. Aby lepiej zrozumieć charakter tych ataków, badacze z Kaspersky Lab dokonali przeglądu rosyjskojęzycznego podziemia przestępczego. Jednym z głównych wniosków, jakie wyciągnęli, jest to, że zaobserwowany w ostatnich latach wzrost liczby ataków przy użyciu oprogramowania ransomware wynika z niezwykle elastycznego i przyjaznego dla przestępców podziemnego ekosystemu, który pozwala przeprowadzać kampanie przy użyciu narzędzi ransomware, niezależnie od umiejętności technicznych czy zasobów finansowych.
Badacze z Kaspersky Lab zidentyfikowali trzy poziomy udziału przestępców w biznesie związanym z ransomware:
- tworzenie i aktualizacja nowych rodzin oprogramowania ransomware,
- rozwój i wsparcie programów partnerskich służących do dystrybucji ransomware,
- udział w tych programach w charakterze partnerów.
W przypadku uczestnictwa pierwszego typu niezbędne jest posiadanie umiejętności na zaawansowanym poziomie w zakresie pisania kodu. Przestępcy, którzy rozwijają nowe odmiany oprogramowania ransomware, tworzą kluczowy element całego ekosystemu.
Na drugim szczeblu hierarchii znajdują się osoby opracowujące programy partnerskie. Są to ugrupowania przestępcze, które — przy pomocy różnych dodatkowych narzędzi, takich jak zestawy szkodliwych narzędzi wykorzystujących luki w zabezpieczeniach (tzw. exploity) i spam — dostarczają oprogramowanie ransomware udostępnione przez programistów.
Na samym dole ekosystemu znajdują się partnerzy. Przy użyciu różnych technik pomagają właścicielom danej struktury rozprzestrzeniać szkodliwe oprogramowanie w zamian za „odsetki” od kwoty okupu otrzymanego przez właścicieli programu. Aby zostać uczestnikiem programów partnerskich, wystarczy mieć chęci, gotowość do popełnienia nielegalnych czynów i kilka bitcointów.
Według szacunków Kaspersky Lab całkowite dzienne przychody z takiego programu partnerskiego mogą sięgać dziesiątek, a nawet setek tysięcy dolarów, z czego około 60% zostaje w kieszeni przestępców jako czysty zysk.
Co więcej, podczas badania ekosystemu przestępczego oraz w wyniku licznych operacji reagowania na incydenty badacze z Kaspersky Lab zdołali zidentyfikować kilka dużych grup rosyjskojęzycznych przestępców specjalizujących się w rozwijaniu i dystrybucji szyfrującego oprogramowania ransomware. Ugrupowania te mogą zrzeszać dziesiątki przestępców, z których każdy posiada własny program partnerski, a lista ich celów obejmuje nie tylko zwykłych użytkowników internetu, ale również małe i średnie firmy, a nawet korporacje. O ile początkowo ugrupowania te brały na celownik użytkowników i podmioty z Rosji oraz Wspólnoty Niepodległych Państw, obecnie kierują swoją uwagę na firmy zlokalizowane w innych częściach świata.