Egyre kockázatosabbak a zsarolóvírusokkal végrehajtott kibertámadások, állította a Cisco Tales közelmúltban megjelent biztonsági jelentése, azért a bűnözők érdeklődése más irányba fordul. De a veszély nem múlt el, sőt ez a támadástípus is képes megújulni – derült ki egy a közelmúltban felfedezett ransomware-variáns működéséből.

Zsarolás szolgáltatásként

A ransomware-eket is elérte a SaaS (Software as a Service) trend. David Montenegro biztonsági kutató írta le a jelenséget a Jokeroo zsaroló kapcsán. Az üzleti modell végtelenül egyszerű: ha nem ért valaki a vírusok fejlesztéséhez, de szeretne beszállni az alvilági bizniszbe, jutányos áron bérelhet ransomware-t. Ehhez csupán elő kell fizetnie egy Ransomware as a Service szolgáltatásra, és máris kulcsrakész eszközt kap a támadások végrehajtásához – írta a BleepingComputer.

A Jokeroo-t hirdették a Twitteren és több hackeroldalon is a dark weben. Az előfizetők nem csupán magához a zsaroló programhoz jutnak hozzá, hanem full kiszolgálást kapnak. Például olyan helyet is, ahol az áldozatok kicsengethetik a váltságdíjat a titkosítás feloldásáért.

A Jokeroo-ra szolgáltatást építők még a marketingre is figyelmet fordítottak. Mint azt egy magát a Twitteren Damiannek nevező németországi biztonsági kutató írta, a szolgáltatást kezdetben úgy hirdették az Exploit.in nevű kiberbűnözői fórumon, mintha az a hírhedt GandCrab nevű ransomware egy variánsára épülne. (A GandCrab sikeres program volt a műfajában, tavaly őszig legalább félmillió számítógépet fertőzött meg világszerte, Európán belül például Nagy-Britanniában és Németországban is nagyot tarolt, és fejlesztői szintén építettek mögé egy Ransomware as a Service szolgáltatást.) Később aztán a fejlesztők változtak a stratégián, és épp azt hangsúlyozták, hogy semmi közük a GandCrabhoz.

A bérleti díj bevételmegosztáson alapul

A Jokeroo esetében nagyon kifinomult árazást vezettek be a kiberbűnözők. A bérleti díj két részből állt össze: alapdíjból vagy előfizetési díjból és jutalékból. Minél magasabb az alapdíj, annál alacsonyabb a jutalék. A legkisebb választható alapdíj 90 dollár, de ez esetben a kifizetett váltságdíjak 85 százaléka a zsaroló szolgáltatás fejlesztőié lesz. Minél magasabb kockázatot, azaz alapdíjat (300-600 dollár) vállal a szolgáltatásra előfizető, annál nagyobb arányban részesedik a váltságdíjból, de vannak olyan csomagok is, melyeknél a teljes összeg az övé marad, sőt kap extra szolgáltatásokat is. Például erős, Salsa20 titkosítást – ezt használja a GandCrab is – vagy a váltságdíj-fizetési folyamat extra titkosítását.

Már a legkisebb, 90 dolláros előfizetésért is nagyon komoly csomagot kap a ransomware bérlője. Egyrészt vannak az alapszolgáltatások, magának a zsaroló programnak a legenerálása (az alapdíjért egy vírus állítható elő), a fájlkiterjesztések megválasztása a titkosításhoz, korlátlan számú rendszer megfertőzésének lehetősége, a váltságdíj összegének a beállítása, valamint a bitcoinos fizetés támogatása.
 

A Jokeroo RaaS áttekintő dashboardja (kattintson a képre a nagyításhoz)

Emellett a támadó lekérdezheti a fertőzött gépek rendszerinformációit, saját zsaroló szöveget használhat (amit egy sima TXT fájlban szerkeszthet), valamint az üzenetbe illeszthet egyedi logót vagy más grafikai elemeket. Emellett hozzáférést kap egy elég részletes webes dashboardhoz. Ezen a felületen az összesítő adatok mellett (lásd a fenti képet) lekérdezhet részletes adatokat is, például a fertőzött rendszerek IP-címét, a fertőzés időpontját, a rendszer földrajzi helyét, a fizetés idejét stb. Itt lehet kezelni az áldozatok rendszereit is.

A vírusfejlesztők számára logikus a lépés

Egyfelől igaza lehet a Cisco Tales kutatóinak: bár a támadási forma annak ellenére jövedelmező, hogy csak a megtámadottak 2-3 százaléka fizet, a lebukás kockázata ma már elég magas. Nagyon sok országban ugyanis kormányzati szinten váltott ki ellenreakciót, mivel állami intézmények, egészségügyi rendszerek, sőt kritikus infrastruktúrák is áldozatul estek ilyen támadásoknak.

A befektetett energiát azonban a ransomware-fejlesztők továbbra is szeretnék kamatoztatni, amire a Ransomware as a Service modell jó lehetőséget ad: ők maguk nem vesznek részt közvetlenül a támadásban, csak az ahhoz szükséges eszközök teljes körét biztosítják. A Jokeroo esetében egy jó hír van a BleepingComputer szerint: bár a szolgáltatás létezik és valószínűleg működőképes, még egyelőre nem találtak olyan variánst, amit ezen keresztül terjesztettek volna.