Ransomware-as-a-Service: zsaroló vírus rendelésre
2016. szeptember 8.
Amint azt a Trend Micro nemrégiben közzétett jelentése is mutatja, 2016 a ransomware-ek éve. Ma már szinte bárki hozzájuthat zsaroló vírushoz, minimális technikai tudás is elég egy Ransomware-as-a-Service modellben értékesített szoftver bevetéséhez. A nemrégiben felfedezett, 39 dollárért megvásárolható Stampado 96 órán belül minden dokumentumot megsemmisít, ha nem fizetnek az áldozatok.
Ami a vállalatok számára óriási veszély, az a bűnözők számára óriási lehetőség. A zsaroló vírusok kevés energiabefektetést igénylő, könnyű pénzszerzési lehetőséget kínálnak, ezért komoly iparág épült ki a módszer köré. Emiatt ma már minimális technológiai tudással rendelkező emberek is viszonylag egyszerűen és olcsón vehetik igénybe a különféle rosszindulatú szoftvereket, egyfajta szolgáltatásként, Ransomware-as-a-Service (RaaS) modellben. Még akkor is, ha a tevékenységgel törvényt sért: szigorú büntetéssel sújtják a zsaroló vírusokat értékesítő és megvásárló, illetve felhasználó személyeket egyaránt, és egyre több bűnüldöző szerv, köztük az FBI is kiemelt figyelmet fordít a területre. Mindemellett elengedhetetlen, hogy a vállalatok is védekezzenek az ilyen jellegű támadások ellen, amire pedig a többszintű védelem nyújthat igazán hatékony megoldást.
Jól működő gazdasági modell
A kereslet és kínálat törvénye a zsaroló vírusok feketepiacára is igaz, itt is ennek megfelelően alakulnak az árak. A Trend Micro szakértőinek ismeretei szerint 2012-ben még 10-20 dollárért lehetett ransomware szolgáltatást vásárolni az orosz kiberbűnözők alvilági köreiben. Ez akkoriban egy Windows blokkolót jelentett, vagy valamilyen, az operációs rendszer megbénítására képes malware-t, az adatokat azonban még nem lehetett ezzel a módszerrel túszul ejteni. Akkoriban a kereslet sem volt akkora a ransomware-ek iránt, mint napjainkban, ezért is volt ilyen alacsony az ára.
Ám az elmúlt években jelentősen nőtt a támadások száma, és egyre több vállalat engedett a zsarolók követelésének, hogy visszakaphassa a rendszereit és fájljait. Ennek következtében természetes volt, hogy a kiberbűnözők megemelték az árakat. A brazil virtuális alvilágban például egy többplatformos zsaroló vírusért 3000 dollárt kértek el tavaly. Napjainkban újra csökken a zsaroló vírusok ára. Ez annak köszönhető, hogy a fenyegetésnek ma már komoly piaca van, ahol egyre több fejlesztő bocsátja áruba illegális termékét, vagyis ahogy nő a verseny, úgy csökkennek az árak. A ransomware-eket felhasználó bűnözők számára pedig mindegy, hogy valamilyen összetett árut vesznek, vagy csak a népszerű típusok olcsó másolatát. Amíg gyorsan és egyszerűen kereshetnek vele pénzt, addig a „filléres” változatot fogják választani.
Stampado, a legfrissebb versenyző
A szolgáltatásként igénybe vehető zsaroló vírusok legutóbbi példája a Stampado, amely néhány hete jelent meg, és mindössze 39 dollárért lehetett megvásárolni. Szerencsére ennek a variánsnak időközben már feltörték a kódját, és készült hozzá olyan szoftver, amellyel egyszerűen feloldható a titkosítás. A Stampado egyébként több hasonlóságot mutat a Jigsaw névre keresztelt ransomware-rel. Mindkettő bizonyos idő után törölni kezdi a túszul ejtett fájlokat, hogy ráijesszenek az áldozatokra, és ezzel is fizetésre ösztönözzék őket, továbbá mindkét típus AES titkosítást használ, és zárolja is a felhasználók gépét.
A további részletek azonban már eltérnek. A Jigsaw pontos utasításokat ad arról, hogyan kéri Bitcoin-ban a váltságdíjat, míg a Stampado esetében e-mailben kell felvenni a kapcsolatot a zsarolókkal a fizetés részleteivel kapcsolatban. A Stampado először 6 órát ad az áldozatoknak a fizetésre, majd óránként egy fájlt véletlenszerűen töröl, és végül 96 óra múlva minden dokumentumot megsemmisít. Ezzel ellentétben a Jigsaw esetében 24 óra után érkezik az első figyelmeztető törlés, és 72 óra a végső határidő.
Védelem minden szinten
"Az RaaS modell terjedése azért különösen veszélyes, mert ezzel olyan emberek kezébe is veszélyes fegyver kerülhet, akik minimális technológiai tudással rendelkeznek. Ezáltal folyamatosan bővül a potenciális támadók köre. A Trend Micro megfigyelései szerint az ilyen megoldásokat alkalmazó támadók egyre inkább a nagyvállalatokat veszik célba. A cégeknek tehát fokozottan ügyelniük kell a zsaroló vírusok kivédésére, ez pedig csak összetett, átgondolt, többszintű védelemmel valósítható meg, amely a végpontoktól a hálózatokon át egészen a szerverekig mindenre kiterjed" – mutatott rá Gömbös Attila, a Trend Micro rendszermérnöke.
Kapcsolódó cikkek
- A Torrentlocker zsarolóvírus az ESET kutatói szerint még mindig aktív
- Az ESET kutatói frissítéseket találtak a Torrentlocker zsarolóvírushoz
- A Lurk kiberbűnöző csoport bérbe is adta a vírosok terjesztésére alkalmas Angler exploit-csomagot
- Az Angler exploit-csomag: miért adta bérbe a hírhedt kiberbűnöző csoport a leghatékonyabb eszközét
- Feltárta a Cerber zsaroló program rendszerét a Check Point speciális csapata
- A Check Point kutatói felfedték a ’cerber’ komplex Cyber zsaroló rendszerét
- Twitter üzenetek segítségével irányítható androidos kártevőt fedeztek fel az ESET kutatói
- Az ESET kutatói felfedezték az első Twitter-üzenetek segítségével irányítható androidos kártevőt
- Az ESET kutatói felfedezték az első Twitter-üzenetek segítségével irányítható androidos kártevőt
- 2016 az online zsarolás éve a Trend Micro jelentése szerint