A Kaspersky fényt derít a zsarolóprogram-ökoszisztémára

|

Kik a zsarolóprogram-működtetők és hol találhatók meg?

A zsarolóvírus szó mindig előkerül, ha a vállalatok a 2021-ben várható kiberfenyegetésekről beszélnek. A támadók felépítették márkáikat, és soha nem látott merészséggel haladnak előre: az újságok első oldalain rendszeresek azok a híradások, amelyek zsarolóvírusos támadások áldozatául esett szervezetekről számolnak be. Ám azzal, hogy az ilyen hackercsoportok a reflektorfénybe helyezik magukat, valójában elrejtik a zsarolóprogram-ökoszisztéma tényleges komplexitását. A Kaspersky segítséget kíván nyújtani a szervezeteknek ahhoz, hogy jobban megismerhessék a zsarolóprogram-ökoszisztéma működését és azt, hogy hogyan küzdhetnek ellene, ezért a vállalat kutatói a legújabb jelentésükben mélyen beleástak a darknetes fórumokba, alaposan megvizsgálták többek között a REvil és a Babuk hackercsoportokat, és eloszlattak néhány mítoszt a zsarolóvírusokkal kapcsolatban. És ha ez ember beleássa magát az alvilágba, számíthat rá, hogy sok arcát megmutatja majd.

Más iparágakhoz hasonlóan a zsarolóprogram-ökoszisztémában is sok szereplő található, akik mind különféle szerepeket töltenek be. A közhiedelemmel ellentétben, mely szerint a zsarolóvírussal támadó bandák valójában gengszterbandák - a Keresztapában látott, szorosan összetartó csoportok, akik mindenben együtt vannak benne -, a valóság inkább Guy Ritchie "Úriemberek" című filmjének világához hasonlít a jelentős számú különböző szereplővel - fejlesztők, botmesterek, hozzáférés-értékesítők, és a zsarolóprogramokat működtetők -, akik a legtöbb támadásban részt vesznek, és a dark webes piacokon nyújtanak szolgáltatásokat egymásnak.

Ezek a szereplők kifejezetten az erre specializálódott darknetes fórumokon találkoznak, ahol szolgáltatásokat és partnertársulásokat kínáló, rendszeresen frissített hirdetések találhatók. Az egyedül dolgozó, prominens nagyhalak nem sűrűn látogatják ezeket az oldalakat, ugyanakkor egyes jól ismert csoportok - mint például az előző pár negyedévben egyre több szervezetet megtámadó REvil - rendszeresen tesznek közzé ajánlatokat és híreket partnerprogramokon keresztül. Az ilyen kapcsolat egy partnertársulást feltételez a zsarolóvírussal támadó csoport működtetője és a partner között, ahol az előbbi 20-40%-kal részesedik a profitból, míg a maradék 60-80% a partnernél marad.

A REvil új lehetőséget hirdet: hívásokat szervez a média és a célba vett szervezet partnerei felé, hogy további nyomásgyakorlással segítsék elő a váltságdíj kifizetését

Példák olyan ajánlatokra, melyek a partnerprogramokban alkalmazott fizetési feltételeket sorolják fel

Az ilyen partnerek kiválasztása egy finomhangolt folyamat, amelyben a zsarolóprogramot működtetők már a legelejétől fogva lefektetik az alapszabályokat, a földrajzi korlátozásokat, sőt még a politikai nézeteket is beleértve. A zsarolóprogramok áldozatait ugyanakkor opportunista módon választják ki.

Mivel a szervezeteket megfertőző személyek és a zsarolóprogramot ténylegesen működtetők valójában különböző csoportok, akik csak a profit reményében állnak össze, a megfertőzött szervezetek az esetek túlnyomó többségében könnyű prédák - olyanok, akikhez a támadók könnyebben meg tudták szerezni a hozzáférést. A megszerzett hozzáférést később mind a partnerprogramban dolgozó szereplők, mind a független működtetők értékesíthetik, vagy aukción, vagy fix áras formában, akár már 50 USD-tól is. Ezek a támadók a legtöbbször botnet tulajdonosok, akik nagyszabású, kiterjedt kampányokat folytatnak, és nagy tételben árulják az áldozatok gépeihez való hozzáférést, olyan eladókat elérve, akik az internetre néző szoftverek (pl. VPN berendezések vagy e-mail átjárók) nyilvánosságra hozott sérülékenységeire vadásznak, hogy ezeket kihasználva behatolhassanak a szervezetek gépeibe.

Példa egy ajánlatra, amelyben egy szervezet RDP-jéhez kínálnak hozzáférést

A zsarolóvírusos fórumokon emellett másfajta ajánlatok is találhatók. Vannak olyan zsarolóprogram működtetők, akik malware-mintákat és zsarolóvírus-építő alkalmazásokat kínálnak 300 és 4000 USD közötti összegért, mások szolgáltatásként kínálnak zsarolóprogramokat, vagyis a zsarolóprogram mellé folyamatos fejlesztői támogatást biztosítanak - az ilyen szolgáltatás csomagára havi 120 USD és évi 1900 USD között mozog.

"A zsarolóprogram-ökoszisztéma egy komplex rendszer, amelyben sok érdek forog kockán. Egy folyton változó piacról van szó, amelyben sok szereplő tevékenykedik: egyesek meglehetősen opportunisták, mások pedig rendkívül profik, akik fejlett módszereket alkalmaznak. Nem konkrét célpontokat választanak ki, hanem bármilyen szervezet megfelel nekik - legyen az nagyvállalat vagy kisvállalkozás -, amennyiben hozzáférést tudnak szerezni hozzá. Az üzlet ráadásul igen csak jól megy, ezért aztán még jó ideig nem fognak felhagyni ezzel a tevékenységgel" - fejtette ki Dmitrij Galov, a Kaspersky globális kutató és elemző csapatának biztonsági kutatója. "A jó hír az, hogy már meglehetősen egyszerű biztonsági intézkedések alkalmazásával is elűzhetők a támadók a szervezet közeléből, tehát már az olyan standard eljárások, mint a rendszeres szoftverfrissítések és az izolált biztonsági mentések is segítenek, de emellett a szervezetek még sok más egyebet is tehetnek annak érdekében, hogy biztonságban tudhassák magukat."

"A zsarolóprogram-ökoszisztéma ellen csak akkor tehetünk hatékony intézkedéseket, ha már alaposan megismertük az alapjait. Reméljük, hogy ezzel a jelentéssel fényt deríthetünk arra, hogyan zajlik valójában a zsarolóvírusos támadások szervezése, és ezzel elősegíthetjük, hogy a közösség megfelelő ellenintézkedéseket tehessen" - tette hozzá Tóth Árpád, a Kaspersky magyarországi igazgatója.

Tudjon meg többet a zsarolóprogram-ökoszisztémáról a teljes jelentésből, amely a Securelist weblapon érhető el.
A Kaspersky arra ösztönzi a szervezeteket, hogy az alábbi legjobb gyakorlatok alkalmazásával védjék meg magukat a zsarolóvírusok elleni támadásoktól:

  • Mindig tartsák naprakészen a szoftvereket az általuk használt összes eszközön, hogy a támadók ne tudjanak behatolni a hálózatba a sérülékenységek kiaknázásával.
  • A védelmi stratégiájukat az oldalirányú mozgások és az adatok internetre való kikerülésének észlelésére összpontosítsák. Fordítsanak fokozott figyelmet a kimenő forgalomra, hogy észlelni tudják a kiberbűnözők kapcsolatait. Készítsenek offline biztonsági másolatokat, amelyeket a betolakodók nem tudnak manipulálni. Gondoskodjanak arról, hogy szükség esetén vészhelyzetben is gyorsan hozzájuk lehessen férni.
  • Minden végpontot érintően kapcsoljanak be zsarolóvírus elleni védelmet. Elérhető egy ingyenes zsarolóvírus ellen védő eszköz a Kasperskytől a vállalkozásoknak, amely megvédi a számítógépeket és a szervereket a zsarolóvírusoktól és egyéb malware-ektől, megelőzi az exploitokat, és kompatibilis a már telepített biztonsági megoldásokkal.
  • Telepítsenek APT elleni és EDR megoldásokat, amelyek korszerű fenyegetés-észlelési funkciókkal rendelkeznek, továbbá lehetővé teszik az incidensek kivizsgálását és időben történő orvoslását. A biztonsági operációs központok (SOC) csapatainak adjanak hozzáférést a legújabb fenyegetéselemzési adatokhoz, és rendszeresen biztosítsanak számukra szakmai továbbképzést. A fentiek mindegyike elérhető a Kaspersky Expert Security keretrendszerében.
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://www.computertrends.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.