Z eksperymentu opisanego w raporcie firmy F-Secure, przedstawiającego doświadczenia ofiar pięciu wariantów ataków typu ransomware, wynika że cyberprzestępcy używający ransomware (oprogramowania do wymuszania okupu) paradoksalnie troszczą się o wygodę ofiary. Badanie pokazuje drogę klienta do odzyskania plików począwszy od zetknięcia się z pierwszym ekranem z żądaniem okupu, aż po interakcję z cyberprzestępcami.
"O atakach typu ransomware czytamy codziennie, a ostatnio do określenia ich proporcji coraz częściej używa się słowa „epidemia”. Chcieliśmy zaproponować inne spojrzenie na ten problem masowej przestępczości, a w istocie skorzystać z okazji, by przypomnieć użytkownikom indywidualnym i firmom, co mogą robić, by zabezpieczyć się przed tym zagrożeniem. Aktualizować oprogramowanie, korzystać z dobrych zabezpieczeń, uważać na to, co przychodzi e-mailem, a przede wszystkim, jeśli wszystko inne by zawiodło, regularnie tworzyć kopie zapasowe, jeszcze zanim padnie się ofiarą przestępstwa" - powiedział Sean Sullivan, doradca ds. zabezpieczeń z F-Secure.
Najistotniejsze wnioski z raportu są następujące:
• Grupy, które posiadają najbardziej profesjonalny interfejs, niekoniecznie mają najlepszy kontakt z ofiarą.
• Gangi korzystające z oprogramowania ransomware są zazwyczaj skłonne negocjować kwotę okupu. W trzech na cztery warianty umożliwiały one negocjacje, a w efekcie zniżkę okupu średnio o 29%.
• Terminy na przekazanie okupu nie muszą być sztywne. 100% badanych grup zgodziło się na opóźnienie terminu zapłaty.
• Jedna z grup twierdziła, że została wynajęta przez korporację do przeprowadzenia ataku na jej konkurencję. Rodzi się pytanie czy był to żart, czy jednak nowe realne zagrożenie?
W raporcie zwrócono uwagę na paradoks działań z wykorzystaniem oprogramowania szyfrującego. Badanie opisuje zachowania przestępców, którzy dorabiają się kosztem krzywdzonych przez siebie ludzi i firm. Jednocześnie jednak - jak w każdym szanującym się przedsięwzięciu - zależy im na dobrej obsłudze klienta, dbają więc o zapewnienie odpowiednich kanałów obsługi i niezawodne odszyfrowanie plików po uiszczeniu płatności. Grupy cyberprzestępcze często funkcjonują w sposób podobny do legalnie działających firm: mają np. własne witryny, pomocne działy FAQ, „okresy próbne” na deszyfrację plików, a nawet kanały obsługi klienta z konsultantami, z którymi można dojść do porozumienia.
Źródło: F-Secure