Εμπειρογνώμονες από το τμήμα Διεύθυνσης Ασφάλειας Talos της Cisco υποστηρίζουν ότι το επόμενο φυσικό βήμα της εξέλιξης για τους φορείς ransomware είναι να ενσωματώσουν τα χαρακτηριστικά αυτο-πολλαπλασιασμού που είχαν βρεθεί στα worms της παλιάς σχολής -ιούς που είχαν φέρει την καταστροφή κατά τη διάρκεια της δεκαετίας του ’90 και στις αρχές της δεκαετίας του 2000.
Το πείραμα think-tank τους βλέπει επιτιθέμενους να χρησιμοποιούν penetration frameworks για να δημιουργήσουν πολύ πιο ευέλικτες οικογένειες ransomware, οι οποίες, εκτός από τη χρήση κρυπτογράφησης για να κλειδώνουν τα αρχεία του χρήστη, θα ενσωματώνουν και διαφορετικές ενότητες, μεταξύ των οποίων νομίζουν ότι και ένα συστατικό αυτο-πολλαπλασιασμού (self-propagation component) πρόκειται να συμπεριληφθεί.
Το προσωπικό της Cisco έχει ήδη παρατηρήσει τέτοια χαρακτηριστικά, ακόμη και αν υπάρχει σε περιορισμένο και με απλοϊκό τρόπο στο SamSam ransomware, γνωστό και ως Samas.
Με το SamSam να κάνει πάταγο και με ορισμένα θύματα υψηλού προφίλ στον τομέα της υγειονομικής περίθαλψης, η Cisco αναμένει και άλλους συγγραφείς ransomware να ενδυναμώσουν (leverage) τα μοντέλα τους και να επικεντρωθούν περισσότερο στην παραβίαση δικτύων και στην άφεση του ransomware να αναζητήσει και να μολύνει και άλλους υπολογιστές από μόνο του.
Αυτό το είδος συμπεριφοράς μεγιστοποιεί το ποσοστό των μολύνσεων μιας καμπάνιας και εξελίσσει τον ανθρώπινο παράγοντα στην εξίσωση. Αντί να χρειάζεται να ξεγελάει κάθε θύμα ransomware για να κατεβάσει και να εκτελέσει κακόβουλα αρχεία, αυτά τα νέα είδη ransomware θα χρειαστούν μόνο ένα ή δύο άτομα να πέσουν θύματα.
Μολύνσεις με αυτούς τους τύπους των απειλών μπορεί να γίνουν viral, επηρεάζοντας δεκάδες, εκατοντάδες ή ακόμα και χιλιάδες υπολογιστές, ειδικά σε μεγαλύτερα κρατικά ή εταιρικά δίκτυα, όπου τα περισσότερα από αυτά τα workstations συνδέονται μεταξύ τους.
Ενώ εταιρείες και κυβερνητικές υπηρεσίες θέτουν ισχυρές άμυνες, σπάνια βρίσκεις εσωτερικά δίκτυα που είναι χωρισμένα σε τμήματα (segmented) και στο εσωτερικό, όπως οι κανονικές διαδικασίες ασφάλειας υπαγορεύουν.
Η Cisco αποκαλεί αυτό το νέο είδος ransοmware, «cryptoworm» και δεν το κάνει άδικα. Οι απατεώνες θα πρέπει μόνο να πετάξουν το ransomware προς όλες τις κατευθύνσεις και να το αφήσουν να κάνει τη δουλειά του.
Μέχρι τώρα, κανένα τέτοιο ransοmware δεν έχει πλησιάζει καν την ιδέα της Cisco, την οποία εμπνεύστηκε από την ανίχνευση του SamSam, αλλά εργαλεία όπως τα Metasploit της Rapid7, Cobalt Strike της Strategic Cyber ή Armitage του Raphael Mudge μπορεί να αποδειχθούν πολύ χρήσιμα για τη δημιουργία ενός τέτοιου ransοmware .
