Ők a zsarolóprogramok valódi működtetői: a világon senkit sem kímélnek

Más iparágakhoz hasonlóan a zsarolóprogram-ökoszisztémában is sok szereplő található, akik mind különféle szerepeket töltenek be. A közhiedelemmel ellentétben, mely szerint a zsarolóvírussal támadó bandák valójában gengszterbandák – a Keresztapában látott, szorosan összetartó csoportok, akik mindenben együtt vannak benne –, a valóság inkább Guy Ritchie „Úriemberek” című filmjének világához hasonlít a jelentős számú különböző szereplővel – fejlesztők, botmesterek, hozzáférés-értékesítők, és a zsarolóprogramokat működtetők –, akik a legtöbb támadásban részt vesznek, és a dark webes piacokon nyújtanak szolgáltatásokat egymásnak.

Ezek a szereplők kifejezetten az erre specializálódott darknetes fórumokon találkoznak, ahol szolgáltatásokat és partnertársulásokat kínáló, rendszeresen frissített hirdetések találhatók.

Az egyedül dolgozó, prominens nagyhalak nem sűrűn látogatják ezeket az oldalakat, ugyanakkor egyes jól ismert csoportok – mint például az előző pár negyedévben egyre több szervezetet megtámadó REvil – rendszeresen tesznek közzé ajánlatokat és híreket partnerprogramokon keresztül. Az ilyen kapcsolat egy partnertársulást feltételez a zsarolóvírussal támadó csoport működtetője és a partner között, ahol az előbbi 20–40 százalékkal részesedik a profitból, míg a maradék 60–80 százaléka a partnernél marad.

Az ilyen partnerek kiválasztása egy finomhangolt folyamat, amelyben a zsarolóprogramot működtetők már a legelejétől fogva lefektetik az alapszabályokat, a földrajzi korlátozásokat, sőt még a politikai nézeteket is beleértve. A zsarolóprogramok áldozatait ugyanakkor opportunista módon választják ki.

Mivel a szervezeteket megfertőző személyek és a zsarolóprogramot ténylegesen működtetők valójában különböző csoportok, akik csak a profit reményében állnak össze, a megfertőzött szervezetek az esetek túlnyomó többségében könnyű prédák – olyanok, akikhez a támadók könnyebben meg tudták szerezni a hozzáférést. A megszerzett hozzáférést később mind a partnerprogramban dolgozó szereplők, mind a független működtetők értékesíthetik, vagy aukción, vagy fix áras formában, akár már 50 USD-tól is. Ezek a támadók a legtöbbször botnet tulajdonosok, akik nagyszabású, kiterjedt kampányokat folytatnak, és nagy tételben árulják az áldozatok gépeihez való hozzáférést, olyan eladókat elérve, akik az internetre néző szoftverek (pl. VPN berendezések vagy e-mail átjárók) nyilvánosságra hozott sérülékenységeire vadásznak, hogy ezeket kihasználva behatolhassanak a szervezetek gépeibe.

A zsarolóvírusos fórumokon emellett másfajta ajánlatok is találhatók. Vannak olyan zsarolóprogram működtetők, akik malware-mintákat és zsarolóvírus-építő alkalmazásokat kínálnak 300 és 4000 USD közötti összegért, mások szolgáltatásként kínálnak zsarolóprogramokat, vagyis a zsarolóprogram mellé folyamatos fejlesztői támogatást biztosítanak – az ilyen szolgáltatás csomagára havi 120 USD és évi 1900 USD között mozog.

„A zsarolóprogram-ökoszisztéma egy komplex rendszer, amelyben sok érdek forog kockán. Egy folyton változó piacról van szó, amelyben sok szereplő tevékenykedik: egyesek meglehetősen opportunisták, mások pedig rendkívül profik, akik fejlett módszereket alkalmaznak. Nem konkrét célpontokat választanak ki, hanem bármilyen szervezet megfelel nekik – legyen az nagyvállalat vagy kisvállalkozás –, amennyiben hozzáférést tudnak szerezni hozzá. Az üzlet ráadásul igen csak jól megy, ezért aztán még jó ideig nem fognak felhagyni ezzel a tevékenységgel” – fejtette ki Dmitrij Galov, a Kaspersky globális kutató és elemző csapatának biztonsági kutatója. „A jó hír az, hogy már meglehetősen egyszerű biztonsági intézkedések alkalmazásával is elűzhetők a támadók a szervezet közeléből, tehát már az olyan standard eljárások, mint a rendszeres szoftverfrissítések és az izolált biztonsági mentések is segítenek, de emellett a szervezetek még sok más egyebet is tehetnek annak érdekében, hogy biztonságban tudhassák magukat.”