Kik a zsarolóprogram-működtetők és hol találhatók meg?

Más iparágakhoz hasonlóan a zsarolóprogram-ökoszisztémában is sok szereplő található, akik mind különféle szerepeket töltenek be. A közhiedelemmel ellentétben, mely szerint a zsarolóvírussal támadó bandák valójában gengszterbandák – a Keresztapában látott, szorosan összetartó csoportok, akik mindenben együtt vannak benne –, a valóság inkább Guy Ritchie „Úriemberek” című filmjének világához hasonlít a jelentős számú különböző szereplővel – fejlesztők, botmesterek, hozzáférés-értékesítők, és a zsarolóprogramokat működtetők –, akik a legtöbb támadásban részt vesznek, és a dark webes piacokon nyújtanak szolgáltatásokat egymásnak.

Ezek a szereplők kifejezetten az erre specializálódott darknetes fórumokon találkoznak, ahol szolgáltatásokat és partnertársulásokat kínáló, rendszeresen frissített hirdetések találhatók. Az egyedül dolgozó, prominens nagyhalak nem sűrűn látogatják ezeket az oldalakat, ugyanakkor egyes jól ismert csoportok – mint például az előző pár negyedévben egyre több szervezetet megtámadó REvil – rendszeresen tesznek közzé ajánlatokat és híreket partnerprogramokon keresztül. Az ilyen kapcsolat egy partnertársulást feltételez a zsarolóvírussal támadó csoport működtetője és a partner között, ahol az előbbi 20–40%-kal részesedik a profitból, míg a maradék 60–80% a partnernél marad.



Az ilyen partnerek kiválasztása egy finomhangolt folyamat, amelyben a zsarolóprogramot működtetők már a legelejétől fogva lefektetik az alapszabályokat, a földrajzi korlátozásokat, sőt még a politikai nézeteket is beleértve. A zsarolóprogramok áldozatait ugyanakkor opportunista módon választják ki.

Mivel a szervezeteket megfertőző személyek és a zsarolóprogramot ténylegesen működtetők valójában különböző csoportok, akik csak a profit reményében állnak össze, a megfertőzött szervezetek az esetek túlnyomó többségében könnyű prédák – olyanok, akikhez a támadók könnyebben meg tudták szerezni a hozzáférést. A megszerzett hozzáférést később mind a partnerprogramban dolgozó szereplők, mind a független működtetők értékesíthetik, vagy aukción, vagy fix áras formában, akár már 50 USD-tól is. Ezek a támadók a legtöbbször botnet tulajdonosok, akik nagyszabású, kiterjedt kampányokat folytatnak, és nagy tételben árulják az áldozatok gépeihez való hozzáférést, olyan eladókat elérve, akik az internetre néző szoftverek (pl. VPN berendezések vagy e-mail átjárók) nyilvánosságra hozott sérülékenységeire vadásznak, hogy ezeket kihasználva behatolhassanak a szervezetek gépeibe.



A zsarolóvírusos fórumokon emellett másfajta ajánlatok is találhatók. Vannak olyan zsarolóprogram működtetők, akik malware-mintákat és zsarolóvírus-építő alkalmazásokat kínálnak 300 és 4000 USD közötti összegért, mások szolgáltatásként kínálnak zsarolóprogramokat, vagyis a zsarolóprogram mellé folyamatos fejlesztői támogatást biztosítanak – az ilyen szolgáltatás csomagára havi 120 USD és évi 1900 USD között mozog.

„A zsarolóprogram-ökoszisztéma egy komplex rendszer, amelyben sok érdek forog kockán. Egy folyton változó piacról van szó, amelyben sok szereplő tevékenykedik: egyesek meglehetősen opportunisták, mások pedig rendkívül profik, akik fejlett módszereket alkalmaznak. Nem konkrét célpontokat választanak ki, hanem bármilyen szervezet megfelel nekik – legyen az nagyvállalat vagy kisvállalkozás –, amennyiben hozzáférést tudnak szerezni hozzá. Az üzlet ráadásul igen csak jól megy, ezért aztán még jó ideig nem fognak felhagyni ezzel a tevékenységgel” – fejtette ki Dmitrij Galov, a Kaspersky globális kutató és elemző csapatának biztonsági kutatója. „A jó hír az, hogy már meglehetősen egyszerű biztonsági intézkedések alkalmazásával is elűzhetők a támadók a szervezet közeléből, tehát már az olyan standard eljárások, mint a rendszeres szoftverfrissítések és az izolált biztonsági mentések is segítenek, de emellett a szervezetek még sok más egyebet is tehetnek annak érdekében, hogy biztonságban tudhassák magukat.”

„A zsarolóprogram-ökoszisztéma ellen csak akkor tehetünk hatékony intézkedéseket, ha már alaposan megismertük az alapjait. Reméljük, hogy ezzel a jelentéssel fényt deríthetünk arra, hogyan zajlik valójában a zsarolóvírusos támadások szervezése, és ezzel elősegíthetjük, hogy a közösség megfelelő ellenintézkedéseket tehessen” – tette hozzá Tóth Árpád, a Kaspersky magyarországi igazgatója.

Tudjon meg többet a zsarolóprogram-ökoszisztémáról a teljes jelentésből, amely a Securelist weblapon érhető el.

A Kaspersky arra ösztönzi a szervezeteket, hogy az alábbi legjobb gyakorlatok alkalmazásával védjék meg magukat a zsarolóvírusok elleni támadásoktól:

-Mindig tartsák naprakészen a szoftvereket az általuk használt összes eszközön, hogy a támadók ne tudjanak behatolni a hálózatba a sérülékenységek kiaknázásával.

-A védelmi stratégiájukat az oldalirányú mozgások és az adatok internetre való kikerülésének észlelésére összpontosítsák. Fordítsanak fokozott figyelmet a kimenő forgalomra, hogy észlelni tudják a kiberbűnözők kapcsolatait. Készítsenek offline biztonsági másolatokat, amelyeket a betolakodók nem tudnak manipulálni. Gondoskodjanak arról, hogy szükség esetén vészhelyzetben is gyorsan hozzájuk lehessen férni.

-Minden végpontot érintően kapcsoljanak be zsarolóvírus elleni védelmet. Elérhető egy ingyenes zsarolóvírus ellen védő eszköz a Kasperskytől a vállalkozásoknak, amely megvédi a számítógépeket és a szervereket a zsarolóvírusoktól és egyéb malware-ektől, megelőzi az exploitokat, és kompatibilis a már telepített biztonsági megoldásokkal.

-Telepítsenek APT elleni és EDR megoldásokat, amelyek korszerű fenyegetés-észlelési funkciókkal rendelkeznek, továbbá lehetővé teszik az incidensek kivizsgálását és időben történő orvoslását. A biztonsági operációs központok (SOC) csapatainak adjanak hozzáférést a legújabb fenyegetéselemzési adatokhoz, és rendszeresen biztosítsanak számukra szakmai továbbképzést. A fentiek mindegyike elérhető a Kaspersky Expert Security keretrendszerében.