Strona główna O nas Informacje prasowe

W 2016 roku ponad 75% szyfrującego oprogramowania ransomware pochodziło z rosyjskojęzycznego podziemia cyberprzestępczego

Spośród 62 nowych rodzin szkodliwego oprogramowania ransomware szyfrującego dane wykrytych przez badaczy z Kaspersky Lab w 2016 r. co najmniej 47 zostało stworzonych przez rosyjskojęzycznych cyberprzestępców. To jedno z ustaleń analizy rosyjskojęzycznego podziemia ransomware przeprowadzonej przez badaczy z Kaspersky Lab. W analizie ustalono również, że niewielkie ugrupowania o ograniczonych możliwościach stają się ogromnymi przedsiębiorstwami przestępczymi, które posiadają zarówno zasoby, jak i intencje atakowania celów prywatnych oraz korporacyjnych na całym świecie.


Kryptograficzne oprogramowanie ransomware - rodzaj szkodliwego oprogramowania, które szyfruje pliki swojej ofiary i żąda okupu w zamian za przywrócenie dostępu do danych - to obecnie jeden z najbardziej niebezpiecznych rodzajów cyberzagrożeń. Według telemetrii Kaspersky Lab tego rodzaju szkodliwe oprogramowanie zaatakowało w ubiegłym roku ponad 1 445 000 użytkowników (łącznie z firmami) na całym świecie. Aby lepiej zrozumieć charakter tych ataków, badacze z Kaspersky Lab dokonali przeglądu rosyjskojęzycznego podziemia przestępczego. Jednym z głównych wniosków, jakie wyciągnęli, jest to, że zaobserwowany w ostatnich latach wzrost liczby ataków przy użyciu oprogramowania ransomware wynika z niezwykle elastycznego i przyjaznego dla przestępców podziemnego ekosystemu, który pozwala przeprowadzać kampanie przy użyciu narzędzi ransomware, niezależnie od umiejętności technicznych czy zasobów finansowych.

Badacze z Kaspersky Lab zidentyfikowali trzy poziomy udziału przestępców w biznesie związanym z ransomware:
  • tworzenie i aktualizacja nowych rodzin oprogramowania ransomware,
  • rozwój i wsparcie programów partnerskich służących do dystrybucji ransomware,
  • udział w tych programach w charakterze partnerów.
W przypadku uczestnictwa pierwszego typu niezbędne jest posiadanie umiejętności na zaawansowanym poziomie w zakresie pisania kodu. Przestępcy, którzy rozwijają nowe odmiany oprogramowania ransomware, tworzą kluczowy element całego ekosystemu. Na drugim szczeblu hierarchii znajdują się osoby opracowujące programy partnerskie. Są to ugrupowania przestępcze, które - przy pomocy różnych dodatkowych narzędzi, takich jak zestawy szkodliwych narzędzi wykorzystujących luki w zabezpieczeniach (tzw. exploity) i spam - dostarczają oprogramowanie ransomware udostępnione przez programistów.

Na samym dole ekosystemu znajdują się partnerzy. Przy użyciu różnych technik pomagają właścicielom danej struktury rozprzestrzeniać szkodliwe oprogramowanie w zamian za "odsetki" od kwoty okupu otrzymanego przez właścicieli programu. Aby zostać uczestnikiem programów partnerskich, wystarczy mieć chęci, gotowość do popełnienia nielegalnych czynów i kilka bitcointów.




Według szacunków Kaspersky Lab całkowite dzienne przychody z takiego programu partnerskiego mogą sięgać dziesiątek, a nawet setek tysięcy dolarów, z czego około 60% zostaje w kieszeni przestępców jako czysty zysk.

Co więcej, podczas badania ekosystemu przestępczego oraz w wyniku licznych operacji reagowania na incydenty badacze z Kaspersky Lab zdołali zidentyfikować kilka dużych grup rosyjskojęzycznych przestępców specjalizujących się w rozwijaniu i dystrybucji szyfrującego oprogramowania ransomware. Ugrupowania te mogą zrzeszać dziesiątki przestępców, z których każdy posiada własny program partnerski, a lista ich celów obejmuje nie tylko zwykłych użytkowników internetu, ale również małe i średnie firmy, a nawet korporacje. O ile początkowo ugrupowania te brały na celownik użytkowników i podmioty z Rosji oraz Wspólnoty Niepodległych Państw, obecnie kierują swoją uwagę na firmy zlokalizowane w innych częściach świata.

Trudno powiedzieć, dlaczego tak wiele rodzin oprogramowania ransomware powstało w krajach rosyjskojęzycznych. O wiele ważniejsze jest to, że obecnie są one tworzone nie tylko przez niewielkie ugrupowania o ograniczonych możliwościach, ale także przez ogromne siatki przestępcze, które posiadają zasoby i intencje, aby atakować nie tylko cele w Rosji. Podobną sytuację obserwowaliśmy w przypadku ugrupowań stosujących szkodliwe oprogramowanie finansowe, takie jak Lurk. One również zaczynały od masowych ataków na użytkowników bankowości online, a następnie zmieniły się w wyrafinowane ugrupowania potrafiące okradać duże organizacje, takie jak banki. Jak powiedział Sun Tzu, jeśli znasz wroga i samego siebie, nie musisz obawiać się wyniku stu bitew. Dlatego stworzyliśmy ten przegląd: gangi stosujące oprogramowanie ransomware stają się potężnymi wrogami, dlatego zarówno dla ogółu, jak i społeczności dbającej o bezpieczeństwo niezwykle ważne jest to, abyśmy dowiedzieli się o nich jak najwięcej - powiedział Anton Iwanow, badacz ds. cyberbezpieczeństwa w Kaspersky Lab.

Więcej informacji na temat działania rosyjskojęzycznego cyberprzestępczego ekosystemu opartego na ransomware znajduje się w serwisie SecureList.pl prowadzonym przez Kaspersky Lab: https://kas.pr/LAe1.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.