Biznes wokół ransomware – dlaczego takie ataki będą się powtarzały

 

Raport firmy Carbon Black wskazuje, że od początku 2016 roku wartość sprzedaży oprogramowania ransomware w dark necie wzrosła o 2500 procent[1].

Choć już taka wartość robi wrażenie, całościowe zbadanie ekonomii ukrytej za ransomware jest niemożliwe. Znaczna większość działań związanych z tym oprogramowaniem odbywa się w tak zwanej ciemnej sieci (Dark Web). Dzięki oprogramowaniu TOR oraz wszechobecnemu szyfrowaniu, wszystkie transakcje odbywają się anonimowo.

Jednak analitycy firmy Carbon Black znaleźli ponad 6,3 tys. sklepów w ciemnej sieci sprzedających oprogramowanie ransomware w których można było kupić 45 tys. różnego rodzaju programów. Cena za zestaw do stworzenia tego typu oprogramowania we własnym zakresie wahała się od 50 centów do 3 tys. dolarów, przy czym mediana cen była na poziomie 15,5 dolarów.

– Biorąc pod uwagę przychody, jakie niesie ze sobą ransomware, jest to niewygórowana cena. Jeszcze bardziej niepokoi fakt, że tego typu oprogramowanie niemal zupełnie nie wymaga do obsługi specjalistycznej wiedzy. Każdy aspirujący cyberprzestępca może je kupić i zacząć na nim zarabiać – komentuje Adam Wódz, IT security manager z firmy Cybercom. – Przy coraz niższej barierze wejścia oraz wciąż niskiej świadomości wśród użytkowników rynek będzie się rozwijał tylko coraz prężniej.

Podziemne korporacje

Kolejnym czynnikiem sprzyjającym rozwojowi tego rynku jest opłacalność dla twórców oprogramowania. Szacunki firmy wskazują, że utalentowany programista ransomware sprzedający swoje produkty, może liczyć nawet na 100 tys. dolarów przychodu rocznie. Dla porównania średnia pensja developera wynosi około 69 tys. dolarów rocznie, a w krajach Europy Wschodniej około 45 tys. dolarów.

– Jest to około dwa razy większa kwota niż możliwa do uzyskania w legalnej pracy, dodatkowo nieopodatkowana – komentuje Adam Wódz – Oznacza to, że dla wielu uzdolnionych, choć pozbawionych skrupułów programistów może się to okazać bardzo dochodowym zajęciem, które pozwoli im żyć znacznie wygodniej niż zwykła praca.

Co więcej, rewolucja cloud computingowa nie ominęła przestępczego podziemia

Ransomware as a Service

Choć ransomware sprzedawane jest podobnie jak dostępne legalnie oprogramowanie pudełkowe, niektórzy przestępcy oferują „ransomware w chmurze”. Z tego typu usługi skorzystać może każdy, kto posiada listę potencjalnych ofiar. W zamian za udział w zyskach z ataku na dostarczonych odbiorców, właściciele serwisu RaaS przeprowadzają całą operację, od rozsyłania oprogramowania, przez bieżącą obsługę kampanii aż po zbieranie płatności i podział zysków.

– O ile przy zakupie oprogramowania przestępca sam musiał wymyślić wabik na użytkowników, zorganizować przesyłanie i zadbać o logistyczną stronę przedsięwzięcia, w tym przypadku nie musi już praktycznie nic – wskazuje Adam Wódz – Taki abonament na cyberprzestępczość będzie tym częstszy, im więcej ludzi będzie nieprzygotowanych na obronę przed ransomware.

O wartości, jaką przedstawiają sobą dane świadczy fakt, że 59 proc. użytkowników skłonnych jest zapłacić około 100 dolarów za ponowny dostęp do zablokowanego komputera. Dla 29 proc. akceptowalną kwotą jest od 100 do 500 dolarów a 12 proc. godzi się zapłacić nawet więcej niż 500 dolarów.

Przychody z oprogramowania Ransomware wyniosły 25 milionów dolarów w 2016 roku[2].

– To potężna branża w której funkcjonują podziemne korporacje zarabiające ogromne pieniądze. Przy takim potencjale wzrostu coraz więcej przestępców będzie inwestowało swoje środki w te przedsięwzięcia – komentuje Adam Wódz. – Dlatego właśnie ransomware będzie coraz poważniejszym i częstszym zagrożeniem.

Jak się bronić

W przypadku ransomware są dwie podstawowe techniki obrony. Pierwszą jest dbanie, by wszystkie stosowane systemy i programy były zaktualizowane i pozbawione dziur.

– Przestępcy wykorzystują niezliczoną ilość różnych podatności w systemach i programach. Dlatego możliwie najszybsze instalowanie dostępnych łatek leży w interesie każdego administratora. Jednak znalezienie ich nie zawsze jest proste – wskazuje Adam Wódz. – Z tego względu rozsądnie jest przeprowadzać regularne testy bezpieczeństwa, czy to własnymi siłami, czy też poprzez zewnętrzne podmioty. Można również stosować narzędzia takie jak nasz Managed Security Service.

Kolejną linią obrony przed ransomware jest regularne robienie kopii zapasowych.

– Jeśli firma już znajdzie się na celowniku hakerów a dane zostaną zaszyfrowane, kopie zapasowe to jedyny ratunek. Dlatego tak ważne jest, by były wykonywane regularnie i niezależnie od infrastruktury sieciowej. Jeśli ransomware za jednym zamachem zaszyfruje zarówno dane wraz z kopiami zapasowymi, w zasadzie nie ma już co zbierać – podsumowuje Adam Wódz.

 

[1]     https://www.carbonblack.com/wp-content/uploads/2017/10/Carbon-Black-Ransomware-Economy-Report-101117.pdf

[2]     https://www.infosecurity-magazine.com/news/bhusa-ransomware-profits-25-million/