Gangi ransomware ewoluują dzięki nowym modelom partnerskim, aby zwabić cyberprzestępców
Krajobraz ransomware nadal szybko ewoluuje, a ostatnie badania Secureworks ujawniają, że aktorzy zagrożeń przyjmują bardziej korporacyjne podejście do cyberprzestępczości. Dwie grupy ransomware, DragonForce i Anubis, oferują teraz rozszerzone programy partnerskie, które naśladują legalne struktury biznesowe — w komplecie z ofertami usług, elastycznością marki i systemami wsparcia.
Wydarzenia te stanowią niepokojący trend w świecie oprogramowania ransomware jako usługi (RaaS), modelu, który już teraz niepokojąco ułatwia mniej doświadczonym atakującym przeprowadzanie niszczycielskich kampanii z użyciem oprogramowania ransomware.
Table of Contents
DragonForce przekształca się w kartel cyberprzestępczy
DragonForce, operacja RaaS, która po raz pierwszy pojawiła się w sierpniu 2023 r., niedawno zmieniła nazwę na „kartel”, co podkreśla jej przejście na bardziej zdecentralizowaną strukturę. Według jednostki Counter Threat Unit (CTU) Secureworks grupa oferuje teraz unikalny model partnerski, który pozwala cyberprzestępcom tworzyć własne marki ransomware.
Zamiast wymagać od podmiotów stowarzyszonych korzystania z oprogramowania ransomware, DragonForce zapewnia dostęp do swojej infrastruktury — w tym paneli administracyjnych i klienckich, narzędzi szyfrujących, systemów negocjacji okupu, rozwiązań do przechowywania danych, witryny wycieków opartej na Tor i obsługi klienta. Ta elastyczność jest atrakcyjna dla atakujących z własnym złośliwym oprogramowaniem, ale potrzebujących pomocy w zakresie logistyki, infrastruktury lub interakcji z ofiarą.
Chociaż ten model może przyciągnąć szerszą gamę cyberprzestępców, wprowadza również ryzyko. Jeśli jeden podmiot stowarzyszony zostanie naruszony, inni połączeni ze wspólną infrastrukturą również mogą zostać narażeni, potencjalnie rozplątując całe sieci skoordynowanych ataków.
Anubis oferuje trzy rodzaje partnerstw w zakresie oprogramowania ransomware
Anubis, inny operator RaaS, również łamie schemat, wprowadzając trzy odrębne modele partnerskie. Każdy z nich zapewnia inną ścieżkę dla przestępców, którzy chcą zarabiać na atakach:
- Klasyczna konfiguracja RaaS, w której partnerzy zatrzymują 80% płatności okupu.
- Model „okupu danych” polegający na publikowaniu szczegółowych analiz ofiar na chronionej hasłem stronie w celu wywarcia na nich presji, aby zapłaciły.
- Model „monetyzacji dostępu”, który pomaga podmiotom stowarzyszonym wyłudzać pieniądze od wcześniej narażonych ofiar, oferując 50% okupu.
Metoda okupu danych wyróżnia się podobieństwem do formy przestępczego marketingu treści. Operatorzy Anubis publikują „artykuł śledczy” na temat skradzionych danych ofiary, a następnie udostępniają go ofierze prywatnie, ostrzegając, że brak zapłaty spowoduje upublicznienie informacji. Wykorzystali nawet obecność w mediach społecznościowych, aby zwiększyć presję i zagrozić ujawnieniem informacji klientom i organom regulacyjnym.
Operatorzy ransomware działają teraz jak firmy
Te modele partnerskie pokazują, że współczesne grupy ransomware coraz częściej prowadzą swoje operacje jak legalne firmy. Od oferowania wsparcia technicznego po umożliwianie personalizacji marki, strategie są zaprojektowane tak, aby przyciągnąć szerszą gamę potencjalnych atakujących. W rzeczywistości oferta DragonForce bardzo przypomina dostawcę usług zarządzanych — bez legalności.
Według Rafe'a Pillinga, dyrektora Threat Intelligence w Secureworks, obrońcy powinni zacząć postrzegać gangi ransomware jako podmioty gospodarcze. Ci aktorzy zagrożeń szybko się dostosowują, goniąc za przychodami i reagując na zmiany w ekosystemie cyberprzestępczości, w tym represje organów ścigania i malejące płatności okupu.
Jak organizacje mogą zachować ochronę
Ponieważ bariera wejścia dla ataków ransomware spada jeszcze bardziej, organizacje muszą podjąć proaktywne kroki w celu wzmocnienia swoich zabezpieczeń. CTU Secureworks zaleca następujące środki bezpieczeństwa:
- Regularnie łataj systemy mające dostęp do Internetu
- Wdrożenie uwierzytelniania wieloskładnikowego odpornego na phishing
- Utrzymuj bezpieczne, offline'owe kopie zapasowe ważnych danych
- Monitoruj punkty końcowe i sieci pod kątem nietypowego zachowania
- Opracuj i przetestuj szczegółowy plan reagowania na incydenty
Rosnąca wyrafinowana działalność gangów ransomware i ich modeli partnerskich stanowi rosnące zagrożenie dla globalnego cyberbezpieczeństwa. Zrozumienie, jak działają te operacje — i przygotowanie się do nich, tak jak przygotowuje się do sprytnego korporacyjnego konkurenta — może być kluczem do utrzymania się o krok przed innymi.
