Банды вирусов-вымогателей развивают новые партнерские модели для привлечения киберпреступников

Ландшафт программ-вымогателей продолжает стремительно развиваться, и недавнее исследование Secureworks показывает, что субъекты угроз используют более корпоративный подход к киберпреступности. Две группы программ-вымогателей, DragonForce и Anubis, теперь предлагают расширенные партнерские программы, которые имитируют законные бизнес-структуры — с предложениями услуг, гибкостью брендинга и системами поддержки.

Эти события знаменуют собой тревожную тенденцию в мире программ-вымогателей как услуги (RaaS), модели, которая уже сделала запуск разрушительных кампаний по использованию программ-вымогателей для менее опытных злоумышленников чрезвычайно простым.

DragonForce превращается в киберпреступный картель

DragonForce, RaaS-операция, впервые появившаяся в августе 2023 года, недавно переименовала себя в «картель», что подчеркивает ее переход к более децентрализованной структуре. По данным Counter Threat Unit (CTU) компании Secureworks, теперь группа предлагает уникальную партнерскую модель, которая позволяет киберпреступникам создавать собственные бренды программ-вымогателей.

Вместо того, чтобы требовать от партнеров использовать его вымогательское ПО, DragonForce предоставляет доступ к своей инфраструктуре, включая панели администратора и клиента, инструменты шифрования, системы переговоров о выкупе, решения для хранения данных, сайт утечки на основе Tor и поддержку клиентов. Такая гибкость привлекательна для злоумышленников с собственным вредоносным ПО, которым нужна помощь с логистикой, инфраструктурой или взаимодействием с жертвой.

Хотя эта модель может привлечь более широкий круг киберпреступников, она также несет в себе риски. Если один филиал будет скомпрометирован, другие, подключенные к общей инфраструктуре, также могут быть раскрыты, что потенциально может раскрыть целые сети скоординированных атак.

Anubis предлагает три варианта партнерства по борьбе с программами-вымогателями

Anubis, еще один оператор RaaS, также ломает шаблон, внедряя три различные партнерские модели. Каждая из них предлагает свой путь для преступников, желающих монетизировать атаки:

1. Классическая схема RaaS, при которой партнеры оставляют себе 80% от выкупных платежей.
2. Модель «выкупа данных», при которой подробный анализ данных жертв публикуется на защищенном паролем сайте, чтобы заставить жертв заплатить.
3. Модель «монетизации доступа», которая помогает партнерам вымогать деньги у ранее скомпрометированных жертв, предлагая 50% от выкупа.

Метод выкупа данных выделяется своим сходством с формой криминального контент-маркетинга. Операторы Anubis публикуют «расследовательскую статью» об украденных данных жертвы, затем делятся ею с жертвой в частном порядке, предупреждая, что неуплата приведет к тому, что информация станет общедоступной. Они даже использовали присутствие в социальных сетях, чтобы усилить давление и пригрозить раскрытием информации клиентам и регулирующим органам.

Операторы программ-вымогателей теперь действуют как предприятия

Эти партнерские модели показывают, что современные группы вымогателей все чаще ведут свою деятельность как законные компании. От предоставления технической поддержки до возможности настройки бренда, стратегии разработаны для привлечения более широкого круга потенциальных злоумышленников. Фактически, предложение DragonForce очень похоже на поставщика управляемых услуг — за исключением законности.

По словам Рейфа Пиллинга, директора по анализу угроз в Secureworks, защитники должны начать рассматривать банды вымогателей как бизнес-структуры. Эти субъекты угроз быстро адаптируются, гоняясь за доходами и реагируя на изменения в экосистеме киберпреступности, включая репрессии со стороны правоохранительных органов и снижение выплат выкупов.

Как организации могут оставаться защищенными

Поскольку барьер для атак с использованием программ-вымогателей становится еще ниже, организации должны принимать упреждающие меры для усиления своей защиты. CTU Secureworks рекомендует следующие меры безопасности:

• Регулярно обновляйте системы, подключенные к Интернету.
• Внедрить многофакторную аутентификацию, устойчивую к фишингу
• Поддерживайте безопасное автономное резервное копирование критически важных данных
• Мониторинг конечных точек и сетей на предмет необычного поведения
• Разработать и протестировать подробный план реагирования на инциденты

Растущая изощренность банд вирусов-вымогателей и их партнерских моделей представляет собой растущую угрозу глобальной кибербезопасности. Понимание того, как работают эти операции, и подготовка к ним, как к сообразительному корпоративному конкуренту, может стать ключом к тому, чтобы оставаться на шаг впереди.