business.jpg

Hvordan ransomware kører den underjordiske økonomi

Ransomware-bander adopterer alle de centrale elementer i legitime virksomheder, herunder definerede personaleroller, marketingplaner, partnerøkosystemer og endda venturekapitalinvesteringer. Den uønskede opmærksomhed på grund af ransomware-angreb har for nylig fået flere af de bedste cyberkriminalitetsfora til at forbyde ransomware-diskussioner og transaktioner på deres platforme. Dette har tilsyneladende haft den betydning på ransomware-grupperne at deres aktivitet er presset mere under jorden, hvilket igen har gjort det vanskeligere at overvåge aktiviteterne.

De grupper, der koordinerer angrebene, er meget professionaliserede og ligner på mange måder moderne virksomhedsstrukturer med udviklingsteams, salgs- og PR-afdelinger, eksterne entreprenører og tjenesteudbydere, der alle får en andel fa det ulovlige udbytte. De bruger endda business lingo i deres kommunikation med ofre og henviser til dem som kunder, der køber deres datadekrypteringstjenester.

En underjordisk økonomi, der er afhængig af ransomware

Ved at se på, hvem der er involveret i ransomware-operationer og hvordan grupperne er organiseret, er det let at se, at ransomware er i centrum for cyberkriminalitetsøkonomien. Ransomware-grupper ansætter mennesker, der kan:

•                Skrive filkrypteringsprogrammer (udviklingsteamet)

•                Konfigurer og vedligehold betalings- og lækagewebstederne og kommunikationskanalerne (IT-infrastrukturteamet)

•                Annoncer ransomware-service på fora (salgsteamet)

•                Kommunikere med journalister og sende beskeder på Twitter og meddelelser på deres blogs (PR og sociale medier team)

•                Forhandle løsepenge betalinger (kundesupport team)

•                Udfør den manuelle hacking og lateral bevægelse på ofrenes netværk for at implementere ransomware-programmet til en del af overskuddet (eksterne entreprenører kendt som datterselskaber eller penetrationstestere)

Datterselskaber køber ofte adgang til netværk fra andre cyberkriminelle, der allerede kompromitteret systemer med trojanske programmer eller botnets eller gennem stjålne legitimationsoplysninger. Disse tredjeparter er kendt som netværksadgangsmæglere. Associerede selskaber kan også købe datadumps, der indeholder stjålne kontooplysninger eller interne oplysninger, der kan hjælpe med målrekognoscering. Spam e-mail-tjenester og skudsikker hosting bruges også ofte af ransomware-bander.

Med andre ord er der mange parter i cyberkriminalitetsøkosystemet, der direkte eller indirekte tjener penge på ransomware. Så det er ikke usædvanligt, at disse grupper bliver mere professionelle og fungerer på samme måde som virksomheder med investorer, ledere, produktmarkedsføring, kundesupport, jobtilbud, partnerskaber og så videre. Ligesom i vores frie markedsøkonomi, som du har alle disse forskellige typer af tjenesteudbydere og produktudbydere til rådighed, er det naturligt for dem at begynde at gå sammen og opbygge en virksomhed sammen om at tilbyde en pakke af tjenester og varer, ligesom vi gør her i standardøkonomien.

Ransomware-grupper tilpasser sig markedspres

Ransomware-angreb har lammet mange hospitaler, skoler, offentlige tjenester, lokale og statslige regeringsinstitutioner og endda politiafdelinger gennem årene, men angrebet i begyndelsen af maj på Colonial Pipeline, det største rørledningssystem for raffinerede olieprodukter i USA, var en milepæl.

Overtrædelsen, tilskrives en Rusland-baseret ransomware gruppe kaldet DarkSide og tvang virksomheden til at lukke hele sit benzinrørledningssystem for første gang i sin 57-årige historie for at forhindre ransomware i at sprede sig til vitale kontrolsystemer. Det resulterede i brændstofmangel på tværs af den amerikanske østkyst. Hændelsen fik udbredt opmærksomhed i medierne og i Washington, da den fremhævede den trussel, som ransomware udgør for kritisk infrastruktur og hvorvidt sådanne angreb skal klassificeres som en form for terrorisme.

Selv operatørerne af DarkSide forstod situationens alvor og annoncerede indførelsen af “moderation” for sine datterselskaber – tredjepartsentreprenører, der faktisk hacker og implementerer ransomware – hævder, at de vil “undgå sociale konsekvenser i fremtiden.” Men varmen var allerede for meget for koncernens tjenesteudbydere.

Kun få dage efter angrebet annoncerede administratoren af XSS, et af de største russisksprogede cyberkriminalitetsfora, forbuddet mod alle ransomware-relaterede aktiviteter på platformen med henvisning til “for meget PR” og øget retshåndhævelsesrisici til “farligt niveau”, ifølge en oversættelse af cyberkriminalitetsefterretningsfirmaet Flashpoint.

Andre højt profilerede ransomware-grupper, herunder REvil, annoncerede straks lignende moderationspolitikker for sine datterselskaber, der forbyder angreb på sundheds-, uddannelses- og regeringsinstitutioner, i et forsøg på at kontrollere PR-skaden. Det var heller ikke nok. To andre store cyberkriminalitetsfora, Exploit og Raid, fulgte snart med forbud mod ransomware-aktiviteter.

I kølvandet meddelte DarkSide, at det ville lukke sine operationer efter også at have mistet adgangen til sin blog, betalingsserver, Bitcoin-tegnebog og anden offentlig infrastruktur, at dens hostingudbyder kun svarede med “på anmodning af retshåndhævende myndigheder.”

Forbuddet mod ransomware-aktiviteter på de mest populære cyberkriminalitetsfora var en betydelig udvikling, fordi disse fora i mange år fungerede som det primære sted, hvor ransomware-grupper rekrutterede datterselskaber.

Cyberkriminelle stopper eller udvikler sig

Hvert par måneder annoncerer en højt profileret ransomware-gruppe, at den lukker sine operationer. I sidste måned var det Avaddon. Før det var det DarkSide. Før det var det Maze, og så videre. Nogle gange, når de beslutter at opløse, frigiver disse grupper deres hovednøgler, som kan hjælpe nogle ofre, der ikke allerede har betalt en løsesum eller genvundet deres filer fra sikkerhedskopier, men de kriminelle bag grupperne forsvinder ikke rigtig fra økosystemet eller går i fængsel. De flytter bare til andre grupper eller skifter roller, for eksempel fra en leder af en vellykket ransomware-operation til en investor.

ROI fra ransomware er så god, at karriere cyberkriminelle ikke har råd til ikke at være involveret i det. Derfor er grupper, der har været forbundet med andre former for cyberkriminalitet, såsom kreditkorttyveri eller hacking i banker, begyndt enten at vedtage ransomware som en indtægtskilde eller samarbejde med ransomware-bander.

Nogle af de nye grupper kan også tjene det formål at rekruttere nye mennesker til virksomheden og give dem en platform, hvor de kan få erfaring. Når gruppen har tjent sit mål og levet sit liv, vil nogle af dens datterselskaber gå videre til mere etablerede grupper.

Offensive handlinger kan være nødvendige

Cyberkriminelle vil ikke opgive ransomware, fordi det er for rentabelt og mange af dem bor i Rusland eller tidligere Sovjet-lande, hvor sandsynligheden for at blive arresteret for at afpresse penge fra vestlige organisationer er lav. Malware-programmer, der stammer fra Rusland eller Samfundet af Uafhængige Stater (CIS), har ofte haft indbyggede kontroller, der forhindrer deres implementering på computere, der bruger russiske eller andre sprog fra SNG-lande. Rusland udleverer ikke sine borgere og i betragtning af det nuværende geopolitiske klima mellem landet og Vesten er øget samarbejde på retshåndhævelsesniveau om cyberkriminalitet ikke særlig sandsynligt.

Kilde: CSO

Scroll til toppen