Опитността и ресурсите за кибератаки стават достъпни за по-слабо квалифицирани или слабо финансирани нападатели (снимка: CC0 Public Domain)
Успехът на бандите за рансъмуер стимулира тенденция на „професионализация“ сред киберпрестъпниците. Различни престъпни групи разработват специализирани „услуги“, които впоследствие си предлагат една на друга.
Рансъмуер съществува от доста време, но видът на заплахата непрекъснато се променя и адаптира към подобренията в защитите, твърди авторът на новото проучване – компанията за сигурност WithSecure. Една от модерните тенденции е текущото господство на групите за „множествено изнудване“ чрез рансъмуер.
Тези банди използват едновременно няколко стратегии за изнудване – например „обикновено“ криптиране за предотвратяване на достъпа до фирмените данни + кражба на данни + заплаха за публично изтичане на данните. Така изнудвачите оказват многостранен натиск върху жертвите си, за да увеличат вероятността да получат желаното плащане.
Индустрии на прицел
На база анализ на повече от 3000 случая на изтичане на данни, изпълнено от бандите за множествено изнудване, строителната индустрия изглежда най-засегната за момента, посочва WithSecure. Тя представлява 19% от случаите на изтичане на данни.
Автомобилните компании, от друга страна, представляват само около 6%. Редица други индустрии също са на прицел, като анализът разкрива тенденция рансъмуер-групите да правят различно „разпределение“ на жертвите си. Някои бандитски фамилии се прицелват предимно в една или няколко конкретни индустрии, което е един вид „секторна специализация“ на престъпниците.
Профилиране на нападателите
Още по-ясно изразена е специализацията на рансъмуер-бандите в определени „ниши“ от самата дейност по организирането и провеждането на атаки. „Преследвайки колкото се може по-голяма част от огромните приходи на рансъмуер-индустрията, изнудваческите групи си купуват услуги от специализирани „доставчици“ на различни средства за електронни престъпления,“ казва старшият анализатор за разследване на киберзаплахи Стивън Робинсън.
Профилирането, по думите му, става „почти по същия начин, по който легитимните бизнеси възлагат определени функции на външни изпълнители“. Въпросното снабдяване с готови средства, функции и информация става все по-популярен подход сред участници в киберзаплахите. От своя страна самите киберпрестъпници варират „от самотни, нискоквалифицирани оператори, чак до сложни хакерски групировки с държавно финансиране“.
В един забележителен пример, описан в доклада, WithSecure разследва инцидент, който включва организация, компрометирана от пет различни ранъмуер-банди едновременно – всяка с различни цели и представляваща различен тип „услуга“ за киберпрестъпления. Сред атакуващите са описани две групи за „класически“ рансъмуер-изнудвания, банда за криптовалутни атаки, брокер за първоначален достъп (IAB) и една банда, за която има данни за финансиране от държавния апарат на страна от друг континент.
Откупите стимулират ръста на рансъмуер-бандите
Според анализа, въпросната тенденция на „професионализация“ сред рансъмуер-групите прави опита и ресурсите за атакуване достъпни за по-слабо квалифицирани или слабо финансирани играчи, желаещи да проведат нападение. Докладът прогнозира, че е вероятно броят на нападателите и размерът на индустрията на киберпрестъпността да нараснат през следващите години.
„Често говорим за щетите, които рансъмуер атаките костват на организациите-жертви,“ подчерта ръководителят на отдела за разследване на кибератаки в WithSecure Тим Уест. „По-малко обаче внимание се обръща на друг аспект: как плащанията на откупа в действителност предоставят на нападателите допълнителни ресурси. Това насърчава тенденцията на професионализация сред тях“.
Уест посочва още, че в краткосрочен план най-вероятно ще станем свидетели на допълнително профилиране и „професионализиране“ на рансъмуер-атаките, на които са подложени организациите по цял свят.