Cel puțin 47 dintre cele 62 de noi familii crypto-ransomware descoperite de cercetătorii Kaspersky Lab în 2016, au fost dezvoltate de infractori cibernetici vorbitori de limbă rusă. Aceasta este una dintre concluziile unei prezentări a cercetătorilor Kaspersky Lab despre comunitatea infracțională ransomware vorbitoare de limbă rusă. Analiza efectuată a scos la iveală faptul că grupurile mici, cu resurse limitate, se transformă în mari întreprinderi infracționale care au resursele și intenția să atace ținte private și organizaționale din toată lumea. Programele crypto-ramsomware – un tip de malware care criptează documentele victimelor și cere o răscumpărare în schimbul decriptării – sunt în prezent unul dintre cele mai periculoase tipuri de malware. Potrivit datelor Kaspersky Lab, în 2016, peste 1.445.000 de utilizatori de pe glob (inclusiv companii) au fost atacați cu acest tip de malware. Pentru a putea înțelege mai bine natura acestor atacuri, cercetătorii Kaspersky Lab au efectuat o analiză a comunității infracționale vorbitoare de limbă rusă. Una dintre principalele concluzii este cea că intensificarea atacurilor ransomware observate în anii trecuți este rezultatul unui ecosistem underground flexibil și foarte simplu de folosit, permițând infractorilor să lanseze campanii crypto-ramsomware, aproape indiferent de nivelul abilităților de utilizare a computerelor sau de resursele financiare deținute.
Primul tip de implicare pretinde participantului să aibă cunoștințe avansate de programare. Infractorii cibernetici care creează noi programe ransomware sunt cei mai privilegiați membri, deoarece ei dezvoltă elementele cheie ale întregului ecosistem. La nivelul secundar al ierarhiei sunt dezvoltatorii programelor afiliate. Aceștia sunt comunități infracționale care, cu ajutorul diverselor instrumente, precum kit-urile de exploit-uri și malware spam, livrează programele ransomware. Partenerii programelor afiliate sunt la nivelul inferior al întregului sistem. Utilizând diverse tehnici, ei îi ajută pe deținătorii programelor afiliate să distribuie conținutul malware în schimbul unei părți din răscumpărarea primită de aceștia. Participanții la aceste programe afiliate nu trebuie să aibă decât intenția și disponibilitatea de a face activități ilegale și câteva monede bitcoins.
Conform estimărilor Kaspersky Lab, venitul zilnic total al unui program afiliat poate atinge zeci sau chiar sute de mii de dolari, dintre care aproape 60% rămân în buzunarele infractorilor ca profit net. În plus, pe parcursul cercetării ecosistemului infracțional și a numeroaselor operațiuni de răspuns la incidente, experții Kaspersky Lab au reușit să identifice câteva grupuri mari de infractori vorbitori de limbă rusă, specializați în dezvoltarea și distribuția de programe crypto-ransomware. Aceste grupuri ar putea să reunească zeci de parteneri, fiecare cu propriul program afiliat, iar lista celor vizați include nu doar utilizatori obișnuiți de Internet, ci și companii mici și mijlocii sau chiar corporații. După ce inițial au vizat doar utilizatori și organizații din Rusia și din alte țări aparținând Comunității Statelor Independente, aceste grupuri iau acum în vizor companii localizate în alte regiuni ale lumii.
