Όπως μας ενημερώνει η Kaspersky, οι ερευνητές της ανακάλυψαν μία αναδυόμενη και ανησυχητική τάση: όλο και περισσότεροι ψηφιακοί εγκληματίες μεταστρέφουν την προσοχή τους από επιθέσεις προς ιδιώτες, σε επιθέσεις με προγράμματα ransomware με στόχο επιχειρήσεις.
Συγκεκριμένα, τουλάχιστον οκτώ ομάδες ψηφιακών εγκληματιών που σχετίζονταν με την ανάπτυξη και τη διάδοση κρυπτογραφημένου προγράμματος ransomware έχουν αναγνωριστεί. Οι επιθέσεις έχουν πρωτίστως πλήξει χρηματοπιστωτικούς οργανισμούς παγκοσμίως, ενώ έχουν καταγραφεί περιπτώσεις όπου οι χρηματικές αξιώσεις υπολογίζονται σε περισσότερα από μισό εκατομμύριο δολάρια.
Στις οκτώ αναγνωρισμένες ομάδες συμπεριλαμβάνονται οι δημιουργοί του PetrWrap, που έχουν επιτεθεί σε διεθνείς χρηματοπιστωτικούς οργανισμούς, η διαβόητη ομάδα Mamba και έξι ακόμα ομάδες με άγνωστο όνομα, που στοχεύουν κυρίως εταιρικούς χρήστες. Είναι άξιο αναφοράς ότι αυτές οι έξι ομάδες μέχρι πρότινος αναμειγνύονταν σε επιθέσεις που κατά κύριο λόγο στόχευαν ιδιώτες και χρησιμοποιούσαν πανομοιότυπα προγράμματα και πλέον έχουν εστιάσει τις παράνομες δράσεις τους σε εταιρικά δίκτυα.
Στόχος τα περισσότερα κέρδη
Σύμφωνα με τους ερευνητές της Kaspersky Lab, ο λόγος για την τάση αυτή είναι ξεκάθαρος: οι εγκληματίες θεωρούν ότι οι επιθέσεις με προγράμματα ransomware εναντίον επιχειρήσεων έχουν προοπτικές για μεγαλύτερα κέρδη σε σχέση με τις μαζικές επιθέσεις εναντίον ιδιωτών. Μία επιτυχημένη ransomware επίθεση εναντίον μιας εταιρίας μπορεί εύκολα να σταματήσει την εύρυθμη λειτουργεία της επιχείρησης για ώρες ακόμα και ημέρες, καθιστώντας τους ιδιοκτήτες των εταιρειών που έχει δεχτεί επίθεση πιο πιθανούς υποψήφιους για να πληρώσουν λύτρα.
Γενικότερα οι τακτικές, οι τεχνικές και οι διαδικασίες που χρησιμοποιήθηκαν από αυτές τις ομάδες έχουν αρκετά κοινά στοιχεία. «Μολύνουν» το στοχοποιημένο οργανισμό με κακόβουλο λογισμικό μέσω ευάλωτων servers ή διαδίδοντας phishing email. Έπειτα, τα εγκαθιστούν στο δίκτυο των θυμάτων και αναγνωρίζουν τους ευάλωτους εταιρικούς πόρους για να τους κρυπτογραφήσουν. Ακολούθως, σε αντάλλαγμα ζητούν λύτρα για την αποκρυπτογράφηση. Εκτός από τις ομοιότητές τους, μερικές από τις ομάδες διαθέτουν και τα δικά τους γνωρίσματα και χαρακτηριστικά.
Για παράδειγμα, η ομάδα Mamba χρησιμοποιεί το δικό της κακόβουλο λογισμικό κρυπτογράφησης, με βάση το λογισμικό ανοικτού κώδικα, DiskCryptor. Μόλις οι επιτιθέμενοι αποκτήσουν πρόσβαση στο δίκτυο, εγκαθιστούν το encryptor πάνω σε αυτό, χρησιμοποιώντας ένα νόμιμο βοηθητικό πρόγραμμα απομακρυσμένου ελέγχου για τα Windows. Η προσέγγιση αυτή καθιστά τις ενέργειες λιγότερο καχύποπτες για το προσωπικό ασφαλείας του οργανισμού – στόχου. Οι ερευνητές της Kaspersky Lab έχουν συναντήσει περιπτώσεις όπου τα λύτρα έχουν φτάσει σε ύψος μέχρι και ενός bitcoin (περίπου $1.000 έως τα τέλη Μαρτίου 2017) ανά ένα τερματικό σημείο αποκρυπτογράφησης.
Ακόμα ένα μοναδικό παράδειγμα των εργαλείων που χρησιμοποιούνται σε στοχευμένες επιθέσεις ransomware αποτελεί το PetrWrap. Η ομάδα αυτή στοχεύει κυρίως σε μεγάλες εταιρείες που έχουν ένα μεγάλο αριθμό κόμβων δικτύου. Οι εγκληματίες επέλεξαν προσεκτικά για κάθε επίθεση στόχους που διαρκούν για κάποιο χρονικό διάστημα: Το PetrWrap έχει παραμείνει επίμονα σε ένα δίκτυο έως και 6 μήνες.