Τους τρεις τελευταίους μήνες παρατηρήθηκαν δραματικές εξελίξεις στον χώρο του ransomware, και ειδικότερα στο Ransomware as a Service, συμπεριλαμβανομένης της απενεργοποίησης του ιστολογίου του LockBit ransomware, της αποχώρησης του BlackCat ransomware από το οικοσύστημα και της εμφάνισης αρκετών μικρότερων ομάδων ransomware.
Δείτε επίσης: GhostLocker 2.0: Στοιχειώνει επιχειρήσεις σε Αφρική και Ασία
Καθώς το οικοσύστημα του cybercrime έχει αναπτυχθεί, έχει γίνει επίσης πιο περίπλοκο με πολλούς διαφορετικούς παράγοντες να εκτελούν μεμονωμένα μέρη μιας σύνθετης αλυσίδας εφοδιασμού.
Αξίζει σε αυτό το σημείο να εξηγήσουμε πώς λειτουργεί το οικοσύστημα του ransomware. Το Ransomware as a Service (RaaS) έχει εμφανιστεί ως το κυρίαρχο μοντέλο επιχειρήσεων μεγάλων ομάδων ransomware.
Σε αυτό το μοντέλο, οι ομάδες RaaS επικεντρώνονται στην ανάπτυξη νέου κώδικα ransomware και στην προσέλκυση συνεργατών. Οι συνεργάτες ransomware, συμμετέχουν στην ευρύτερη ομάδα για να παραβιάσουν την υποδομή πληροφορικής και να διανέμουν ransomware, ενώ τα λύτρα συχνά διαπραγματεύονται από τον πάροχο του RaaS.
Αυτό το μοντέλο λειτουργεί καλά, τόσο για τους φορείς όσο και για τους συνεργάτες και χρησιμοποιείται τόσο από το LockBit όσο και από το BlackCat, τα δύο μεγαλύτερα συγκροτήματα που μόνα τους αποτέλεσαν την πλειοψηφία των επιθέσεων ransomware το 2023.
Επιτρέποντας στους συνεργάτες την εκτέλεση επιτυχημένων επιθέσεων, οι ομάδες μπορούν να αναπτύσσονται πολύ γρηγορότερα και να εκθέτουν πολλά περισσότερα θύματα από ό,τι θα ήταν δυνατόν διαφορετικά, ενώ ταυτόχρονα επιτρέπει στις ομάδες να συνεχίσουν να καινοτομούν στον κώδικα του ransomware τους.
Δείτε ακόμα: Οι αρχές επιβολής του νόμου επηρεάζουν τις ομάδες ransomware
Οι συνεργάτες βασίζονται σε άλλες αλυσίδες εφοδιασμού για την αποτελεσματική διεξαγωγή επιθέσεων. Σε πολλές περιπτώσεις παρατηρούμε τους συνεργάτες να προμηθεύονται πρόσβαση από έναν άλλο τύπο κακόβουλου παράγοντα του dark web – τον μεσίτη αρχικής πρόσβασης (IAB).
Το ανταγωνιστικό πεδίο των κορυφαίων συνεργατών είναι ένα δύσκολο και σύνθετο επάγγελμα. Οι ομάδες Ransomware as a Service αντιμετωπίζουν το ίδιο δίλημμα με μια νόμιμη επιχείρηση: χρειάζονται συνεργάτες για να λειτουργήσει το μοντέλο τους και πρέπει να ανταγωνίζονται σε τιμή και ποιότητα για να προσελκύσουν τους καλύτερους συνεργάτες.
Η ύπαρξη μιας δημοφιλούς ομάδας έχει πλεονεκτήματα και μειονεκτήματα. Οι συνεργάτες επιθυμούν να συνεργαστούν με καθιερωμένες ομάδες που διαθέτουν καλό κώδικα ransomware και φαίνονται σταθερές. Καθώς η ομάδα Ransomware as a Service συνήθως καταβάλλει αμοιβές, το να συνεργαστεί κανείς με μια ασταθή ομάδα είναι πολύ επικίνδυνο. Ωστόσο, οι μεγάλες ομάδες γίνονται επίσης τεράστιοι στόχοι για τις αρχές επιβολής του νόμου. Με την κατάρριψη των LockBit και BlackCat, οι αρχές έχουν μειώσει την εμπιστοσύνη των συνεργατών και των δύο ομάδων.
Οι ομάδες ransomware λειτουργούν με βάση τη φήμη. Στον κυβερνοεγκληματικό κόσμο η εμπιστοσύνη είναι ανύπαρκτη και οι απάτες είναι εξαιρετικά συχνές. Οι ομάδες ransomware που επιθυμούν να έχουν ταλαντούχους συνεργάτες με βαθιές τεχνικές γνώσεις πρέπει να κερδίσουν την εμπιστοσύνη με τον χρόνο και να συσχετίσουν αυτήν την εμπιστοσύνη με το “brand” τους.
Δείτε επίσης: SugarLocker ransomware: Συνελήφθησαν τρία υποτιθέμενα μέλη
Το Ransomware as a Service (RaaS) είναι ένα είδος κυβερνοεγκλήματος που λειτουργεί σε μορφή υπηρεσίας. Οι εγκληματίες παρέχουν το λογισμικό ransomware σε άλλους εγκληματίες, οι οποίοι το χρησιμοποιούν για να εκτελέσουν επιθέσεις. Οι επιθέσεις RaaS αρχίζουν συνήθως με την αποστολή ενός φαινομενικά ακίνδυνου email στον στόχο. Αυτό το email περιέχει συνήθως έναν σύνδεσμο ή ένα συνημμένο αρχείο που, όταν ανοίγεται, εγκαθιστά το ransomware στον υπολογιστή του χρήστη. Μόλις το ransomware εγκατασταθεί, κρυπτογραφεί τα δεδομένα του χρήστη, καθιστώντας τα μη προσβάσιμα. Ο χρήστης λαμβάνει στη συνέχεια ένα μήνυμα που τον ενημερώνει ότι τα δεδομένα του έχουν κρυπτογραφηθεί και ότι πρέπει να πληρώσει ένα λύτρο για να τα αποκτήσει πίσω. Το λύτρο που απαιτείται συνήθως πρέπει να πληρωθεί σε Bitcoin ή άλλο κρυπτονόμισμα, το οποίο είναι δύσκολο να παρακολουθηθεί. Αυτό καθιστά το Ransomware as a Service μια εξαιρετικά αποτελεσματική και δύσκολη στην αντιμετώπιση μορφή κυβερνοεγκλήματος.
Πηγή:
