Egy évig, 2018 májusától idén májusig figyelt néhány fontosabb alvilági fórumot a Recorded Future és az Insikt Group. Az ilyen fórumok kincsesbányák a biztonsági szakembereknek. Az ott megosztott bejegyzések, ártalmas programok, kódok – melyeket ilyen fórumokon reklámoznak, sőt értékesítenek – sokat segíthetnek a kibervédelmi szakembereket, hogy proaktívan felkészüljenek a potenciális támadási faktorokra. Szövegelemzésnek vetették alá a megfigyelt fórumok bejegyzéseit, hogy beazonosítsák a legfontosabb témákat, melyek a kiberbűnözőket foglalkoztatják. Az egy év alatt mintegy 3,9 millió fórumbejegyzést elemeztek.

Az Bestsellers in the Underground Economy [PDF] című tanulmányhoz nyolc nyelvet vettek figyelembe, az angol mellett például az arab, a spanyol, az orosz, a kínai és a fárszi nyelvű fórumokat is figyelték.

A legnépszerűbb téma: a zsarólóvírusok

Annak ellenére, hogy például a Cisco Tales egy közelmúltban publikált jelentése már a zsarolóvírusok visszaszorulásával számol, a fórumokon – az összes nyelvet nézve – továbbra is ez a legnépszerűbb téma, állítja az Insikt Group elemzése. A leggyakrabban említett víruskategória a ransomware volt, a második leggyakoribb téma a titkosítás és a trójai programok családja volt. Az első ötbe még a webes biztonsági fenyegetés (WebShell) és a távoli hozzáférést lehetővé tevő trójai kategória került be.

A tíz leggyakrabban említett malware-kategória

Az elemzés alapján a legnépszerűbb konkrét károkozókról is képet kaptak a kutatók. Érdekes módon ebben elég nagyok a nyelvi különbségek. Például a kínai fórumokon az androidos SpyNote végzett az élen két távoli elérést segít trójai, az AhMyth és a Gh0st előtt. Ezzel szemben az angol nyelvű fórumokon messze a Trillium Security Multisploit Toolt említették a leggyakrabban az njRAT és a SpyNote előtt. Az orosz nyelvű fórumokon megint másként alakult az említési gyakoriság: ezeken érdekes módon egy meglehetősen régi, több mint tíz éve ismert orosz találmányról, a Xrumer Captcha-törő automata eszközről értekeztek a legtöbbet, amit a GandGrab és njRAT követett.

Összességében a kutatók szerint a kínai és az angol nyelvű fórumok tagjait elsősorban az androidos kártevők foglalkoztatták, míg az orosz fórumok ezekkel jóval kevesebbet foglalkoztak: utóbbiakon nincs a tíz leggyakrabban említett között mobil kártevő.

Az összesített tízes toplistán az njRAT trójai végzett az élen a jogosulatlan távoli hozzáférésre és művelet-végrehajtásra lehetőséget adó kémprogramok, a Predator the Thief és az androidos SpyNote előtt. Utánuk az AZORult jelszólopó, valamint a távoli asztali kapcsolatokon keresztül történő károkozásokra alkalmas NLBrute trójai a leggyakrabban említett kártékony program.

A tíz leggyakrabban említett károkozó

Érdekes ellenmondás, hogy miközben a fórumbejegyzésekben a legnépszerűbb kategória a ransomware volt, az összesített listán csupán egy ilyen kártevő, a GandCrab került be az első tízbe, és csupán a hatodik helyre. Még mindig elég sok poszt foglalkozott a Ryuk, a WannaCry, a CryptoLocker és a Petya zsarolóvírussal is.

Olyan, mint a divat: időnként visszatér

A tanulmány szerint az elemzésből jól kivehető az a tendencia, hogy a régebbi, már jól ismert károkozókat időről időre újra felfedezik maguknak a kiberbűnözők. Ebben persze komoly szerepe van annak is, hogy a felhasználók biztonságtudatottsága mit sem javul, így a támadók azokat a károkozókat is nagy hatékonysággal képesek bevetni, melyek ellenszere akár évek óta ismert. Ilyen például a legalább három éve ismert Gh0st trójai, amit minden víruskereső felismer, ennek ellenére még mindig képes fertőzni. De ugyanez igaz a windowsos Remote Desktop-alapú (RDP) támadásokra alkalmas kártevőkre, melyek azt használják ki a legegyszerűbb, brute force technikával, hogy a felhasználók a távoli asztali kapcsolatokhoz még mindig nem használnak megfelelő védelmet, például VPN-t és erős hitelesítést.