Grupy cyberprzestępcze oferują różne formy współpracy. Gangi ransomware aktywnie poszukują partnerów, którzy będą realizować ataki wymierzone w firmy oraz instytucje. Na najlepszych czekają wysokie prowizje. W ostatnim czasie dużą popularnością cieszy się model Ransomware as a Service (RaaS), polegający na tym, że zamawiający otrzymuje skonfigurowane, gotowe do użycia oprogramowanie.
W tym przypadku niepotrzebna jest podstawowa znajomość złośliwych programów czy administracji serwerami. Jednak specjaliści przyznają, że w ten sposób sprzedawany jest ransomware z niższej półki, wykorzystywany do ataków na mniejsze firmy, a czasami gospodarstwa domowe. Znane gangi posiadają programy partnerskie, zachęcające do współpracy osoby legitymujące się pewnym doświadczeniem w zakresie działalności cyberprzestępczej.
Podmioty stowarzyszone z ekipami ransowware mogą liczyć na atrakcyjne prowizje. Przykładowo program partnerski realizowany przez grupę Sodinokibi, znaną również jako REvil, pozwala uzyskać prowizję 30 proc. od otrzymanego okupu, zaś w przypadku trzech udanych ataków wypłata wzrasta do 40 proc. Program partnerski działa w ten sposób, że operatorzy ransomware udostępniają współpracownikom złośliwy kod blokujący. Partner otrzymuje wersję kodu z wbudowanym unikalnym identyfikatorem. Za każdą ofiarę, która płaci okup, podmiot stowarzyszony dzieli się kwotą z operatorem ransomware.
Według firmy Intel 471 zajmującej się cyberbezpieczeństwem istnieją ponad dwa tuziny gangów ransomware poszukujących zewnętrznych partnerów. Choć na rynku działają też zwarte kręgi przestępcze, wykorzystujące bezpośrednie i prywatne kanały komunikacji, do których analitycy nie mają wglądu. Intel 471 dzieli gangi na trzy poziomy, dokonując klasyfikacji na podstawie rozgłosu i czasu od jakiego prowadzą przestępczą dzialalność. Najwyżej znajdują się ekipy, którym w ostatnich latach udało się zgarnąć z rynku setki milionów dolarów okupu. Zdecydowana większość z nich korzysta również z dodatkowych metod wymuszeń, takich jak kradzież poufnych informacji z sieci swoich ofiar i grożenie ich ujawnieniem, jeśli okup nie zostanie zapłacony. Do tej grupy Intel 471 zalicza DopplePaymer (używane w atakach na Pemex, Bretagne Télécom, Newcastle University, Düsseldorf University), Egregor (Crytek, Ubisoft, Barnes & Noble), Netwalker / Mailto (Equinix, UCSF, Michigan State University, Toll Group) i REvil / Sodinokibi (Travelex, lotnisko w Nowym Jorku, lokalne władze w Teksasie). Jednak na samym szczycie rankingów znajduje się Ryuk, jego ładunki wykryto w jednym na trzy ataki ransomware w ciągu ostatniego roku. Grupa jest również znana z dostarczania swoich ładunków w ramach wieloetapowych ataków przy użyciu wektorów infekcji Trickbot, Emotet i BazarLoader. Podmioty stowarzyszone w Ryuk stoją także za ogromną falą ataków na amerykański system opieki zdrowotnej.
Na drugim poziomie Intel 471 umieścił ekipy, które powiększyły swoje wpływy w bieżącym roku - SunCrypt, Conti, Clop, Ragnar Locker, Pysa / Mespinoza, Avaddon, DarkSide (uważane za odłamek REvil). Natomiast najniższą pozycję w hierarchii zajmują nowo utworzone gangi - Nemty, Wally, XINOF, Zeoticus, CVartek.u45, Muchlove, Rush, Lolkek, Gothmog i Exorcist. Jak do tej pory nie udało się uzyskać informacji na temat liczby udanych ataków przeprowadzonych przez wymienione grupy czy uzyskanych przez nie okupów.
"Sam fakt, iż gangi ransomware poszukują partnerów ma swoje dobre i złe strony. W ten sposób przestępcy rozszerzają zasięg swojego działania. Ale warto zwrócić uwagę, że jednocześnie otwierają się na zewnątrz, co pozwala na ich inwigilację przez organy ścigania. Poza tym niektóre ekipy zlecając zadania podmiotom zewnętrznym mogą utracić reputację, jeśli tak możemy mówić w przypadku grup przestępczych. Mam tutaj na myśli takie grupy jak np. Suncrypt czy DarkSide, które otwarcie deklarują, że nie będą nigdy atakować placówek oświatowych oraz służby zdrowia, nie można przecież wykluczyć, że partnerzy ich nie posłuchają i zaszyfrują dane na serwerach należących do szpitala" - mówi Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.
Ransomware jest w tym roku ogromnym problemem dla wielu firm oraz instytucji. Jak wynika z raportu Bitdefendera „Mid-Year Threat Landscape Report” liczba ataków realizowanych za pośrednictwem tego typu złośliwych programów w pierwszym półroczu bieżącego roku wzrosła o 715 proc. w porównaniu z analogicznym okresem roku ubiegłego.
Źródło: Bitdefender