Το ransomware έχει μετατραπεί στο κυρίαρχο μέσο ψηφιακής απειλής και προσφέρει τεράστια ποσά στις συμμορίες που εμπλέκονται σε αυτό, που άλλα μέρη του εγκληματικού οικοσυστήματος στον κυβερνοχώρο επαναπροσδιορίζονται ώστε να το εξυπηρετήσουν και να αποκαλύψουν πιθανούς στόχους.
“Η βαρυτική δύναμη της μαύρης τρύπας του ransomware έλκει άλλες κυβερνοαπειλές για να σχηματίσει ένα τεράστιο, διασυνδεδεμένο σύστημα παράδοσης ransomware — με σημαντικές επιπτώσεις στην ασφάλεια πληροφορικής”, αναφέρει σε έκθεση της η εταιρεία ασφαλείας Sophos. Το ransomware θεωρείται από πολλούς ειδικούς ως ο πιο πιεστικός κίνδυνος ασφάλειας που αντιμετωπίζουν οι επιχειρήσεις – και είναι εξαιρετικά προσοδοφόρο για τις συμμορίες που εμπλέκονται, με τις πληρωμές λύτρων να αυξάνονται σημαντικά.
Σύμφωνα με την έκθεση της Sophos, το ransomware γίνεται πιο αρθρωτό, με διαφορετικές ομάδες να ειδικεύονται σε συγκεκριμένα στοιχεία μιας επίθεσης. Επισήμανε επίσης τη συνδεδεμένη άνοδο του «ransomware ως υπηρεσία», όπου οι εγκληματικές συμμορίες μπορούν να αγοράσουν πρόσβαση σε εργαλεία για να εκτελέσουν τις δικές τους επιθέσεις ransomware όταν δεν έχουν την τεχνική ικανότητα να δημιουργήσουν οι ίδιες αυτά τα εργαλεία. Αυτοί οι λεγόμενοι «συνεργάτες» ransomware δεν χρειάζεται καν να βρουν τα δικά τους πιθανά θύματα: το οικοσύστημα ransomware έχει αναπτυχθεί έτσι ώστε να μπορούν να πάνε σε άλλες ομάδες που ειδικεύονται στην απόκτηση πρόσβασης σε εταιρικά δίκτυα και που θα τους πουλήσουν αυτή την κερκόπορτα.
Εκτός από την επιχειρηματική δραστηριότητα με αυτούς τους «μεσίτες αρχικής πρόσβασης», οι επίδοξοι εισβολείς ransomware μπορούν να στραφούν σε χειριστές botnet και πλατφόρμες παράδοσης κακόβουλου λογισμικού για να βρουν και να στοχεύσουν πιθανά θύματα. Και λόγω του πιθανού κέρδους, αυτές οι ομάδες επικεντρώνονται όλο και περισσότερο στην εξυπηρέτηση συμμοριών ransomware αντί να επικεντρώνονται σε λιγότερο προσοδοφόρες μορφές διαδικτυακού εγκλήματος.
“Οι καθιερωμένες κυβερνοαπειλές θα συνεχίσουν να προσαρμόζονται για τη διανομή και την παράδοση ransomware. Αυτά περιλαμβάνουν loaders, droppers και άλλο κακόβουλο λογισμικό εμπορευμάτων, όλο και πιο προηγμένους, μεσίτες αρχικής πρόσβασης που λειτουργούν από τον άνθρωπο, spam και adware”, δήλωσε η εταιρεία ασφαλείας.
Η ιδέα του ransomware-as-a-service υπήρχε εδώ και καιρό και συχνά ήταν ένας τρόπος για να ξεκινήσουν οι εισβολείς με χαμηλότερη ειδίκευση ή λιγότερο καλά χρηματοδοτούμενους. Αλλά αυτό που έχει αλλάξει τώρα, σύμφωνα με τον Chester Wisniewski, κεντρικό ερευνητή στη Sophos, είναι ότι οι προγραμματιστές ransomware χρησιμοποιούν τώρα αυτό το μοντέλο ως υπηρεσία για να βελτιστοποιήσουν τον κώδικά τους και να λάβουν τις μεγαλύτερες πληρωμές, φορτώνοντας σε άλλους τις εργασίες εύρεσης θυμάτων, εγκατάστασης και την εκτέλεση του κακόβουλου λογισμικού και το ξέπλυμα των κρυπτονομισμάτων.
Ξεχωριστή έρευνα έδειξε μάλιστα ότι οι συμμορίες ransomware είναι πλέον αρκετά πλούσιες ώστε να αρχίσουν να αγοράζουν τα δικά τους zero-day flaws, κάτι που προηγουμένως ήταν διαθέσιμο μόνο σε κρατικά υποστηριζόμενους χάκερ.
“Αυτό διαστρεβλώνει το τοπίο των απειλών στον κυβερνοχώρο”, είπε ο Wisniewski, καθώς κοινές απειλές όπως loaders, droppers και Initial Access Brokers – που υπήρχαν και προκαλούσαν αναστάτωση πολύ πριν από την επικράτηση του ransomware – εξυπηρετούν τώρα τις απαιτήσεις των συμμοριών ransomware.
