W ciągu kilku ubiegłych lat metody wykorzystywane przez cyberprzestępców w atakach z użyciem ransomware uległy znacznej zmianie. Podczas gdy dawniej atakujący dążyli do zaszyfrowania danych jak największej liczby użytkowników, obecnie ich działania są znacznie bardziej precyzyjne – przestępcy szczegółowo badają każdy cel, szukając słabych punktów. Zaawansowane cybergangi działają niemal jak dostawcy usług online, stosując tradycyjne mechanizmy marketingowe. Na bazie działań grupy przestępczej Darkside badacze z firmy Kaspersky zidentyfikowali pięć przykładów tej transformacji.
1. Członkowie cybergangu Darkside aktywnie nawiązują kontakty z mediami. Na swojej stronie zamieścili stosowną sekcję, w której dziennikarze mogą zadawać pytania i otrzymywać informacje z pierwszej ręki, a także sprawdzać na bieżąco, które z danych skradzionych w ramach ataków będą w najbliższym czasie ujawniane. Wyraźnie widać, że cyberprzestępcy chcą uzyskać jak najwięcej rozgłosu w internecie.
2. Grupy wykorzystujące narzędzia ransomware współpracują z firmami oferującymi usługi deszyfrowania danych. Dzieje się tak dlatego, że wiele firm z sektora publicznego ma zakaz negocjowania z cyberprzestępcami. Z tego powodu powstało zapotrzebowanie na swego rodzaju pośredników, którzy działają legalnie i oferują usługi odzyskania danych po ataku, a w rzeczywistości po prostu płacą przestępcom okup w imieniu ofiary.
3. Członkowie cybergangu Darkside utrzymują, że przekazują część swoich zysków na cele charytatywne. W ten sposób pokazują ofiarom ataków, które nie chcą finansować działalności przestępczej, że część ich pieniędzy trafi na słuszny cel. Warto wiedzieć, że w wielu przypadkach organizacje charytatywne nie mogą przyjmować pieniędzy od takich ugrupowań i przelewy będą zamrażane. O ile w ogóle zostaną wykonane.
4. Cyberprzestępcy uważnie analizują skradzione dane i rynek. Przed opublikowaniem informacji zdobytych od ofiary, która nie zapłaciła okupu, atakujący sprawdzają jej kontakty i identyfikują dobrze znanych klientów, partnerów, a także konkurencję. Badacze z firmy Kaspersky uważają, że głównym celem tych działań jest maksymalizacja szkód i zastraszenie ofiar, a tym samym zwiększenie szans na otrzymanie okupu.
5. Grupa Darkside funkcjonuje zgodnie z własnymi zasadami etycznymi, tak jak prawdziwe korporacje. Przestępcy utrzymują, że nigdy nie atakują firm z sektora medycznego, zakładów pogrzebowych, instytucji edukacyjnych oraz organizacji non-profit i rządowych.
Jesteśmy świadkami wielkiej transformacji w działaniu cybergangów stosujących ataki ransomware i nie jest niespodzianką, że zmiany te mają na celu zwiększenie zysków. Współcześni cyberprzestępcy zarabiają więcej niż kiedykolwiek wcześniej i mogą inwestować w analizę rynku, a także współpracować z partnerami, mediami i organizacjami charytatywnymi. Jedynym sposobem na powstrzymanie ich działań jest odcięcie atakujących od funduszy poprzez rezygnację z płacenia okupu – powiedział Piotr Kupczyk, dyrektor biura komunikacji z mediami, Kaspersky Lab Polska.