A zsarolóvírusok évek óta az egyik legnagyobb problémát jelentik az informatikai biztonság területén. Ez nem csak a potenciálisan megszerezhető hatalmas összegeknek köszönhető, hanem annak is, hogy a ransomware-ek fejlesztői mostanra a hagyományos (legális) szoftverszolgáltatások rugalmasságával és könnyű kezelhetőségével vetekedő rendszereket építettek ki. Ráadásul ezek a bűnözői csoportok azt is felismerték, hogy a sűrű fillér jobb, mint a ritka forint.
A Group-IB biztonsági cég részletes elemzést adott ki az alig egy éve felbukkant Qilin zsarolóvírust terítő banda működéséről és üzleti modelljéről. A csoport természetesen a már hosszú évek óta létező Ransomware-as-a-Service (RaaS) koncepciót követi, azaz az általuk fejlesztett kártékony kódot előfizetéses formában teszik elérhetővé az internet sötétebb felén.
Vonzó ajánlat
Jutalékos rendszerük egészen gálánsnak mondható. A 3 millió dollárnál kisebb váltságdíjak esetében a "terméküket" használó bűnözők a fogás 80 százalékát megtarthatják. Amennyiben viszont ennél is jelentősebb összegről van szó, akkor mindössze 15 százalékot kell leadni a ransomware fejlesztőjének.
Mindezt a legális piacon korábban széles körben, például a nagy mobilos alkalmazás-áruházaknál is alkalmazott 30 százalékos rátával érdemes összevetni. A 30 százalék miatt lázadt fel például az Epic Games is, és ment perre az Apple és a Google ellen. Utóbbiak a jogi és szabályozói nyomás hatására az elmúlt időszakban elkezdték mérsékelni igényeiket.
A Qilin esetében alkalmazott jutalékrendszer egyébként mostanra nagyjából az alvilági sztenderdnek tekinthető, hiszen más jelentések alapján is az látszik, hogy a ransomware-ek fejlesztői egyre több pénzt hagynak a kártevőjüket használó "ügyfeleknél". A BlackCat esetében például néhány évvel ezelőtt még 65-75 százalék maradt a támadásokat végrehajtó partnereknél, ma már viszont akár 80-90 százalékát is megtarthajták a zsákmánynak.
Bejáratott modell
Ahogy említettük, a Raas már egy teljesen bejáratott üzleti modellnek tekinthető alvilági körökben. A Group-IB egy korábbi riportja szerint például a cég által elemzett, 2020-ban végrehajtott zsarolóvírus-támadások közel kétharmadánál már ilyen konstrukcióban dolgoztak az elkövetők.
A zsarolóvírusok fejlesztői tényleg mindent megtesznek a partnerek kényelméért: információs portált üzemeltetnek, blogbejegyzésekkel, gyakori kérdésekre adott válaszok összegyűjtésével, dedikált fórummal igyekeznek megkönnyíteni az illegális akciók megfelelő előkészítését.
A ransomware-ek bérlése sajnos minden érintett fél számára kedvező, ami egyben megmagyarázza népszerűségét is a kiberbűnözők körében. A támadónak így nem kell magas technológiai tudással rendelkező szakemberek bevonásával saját kódot alkotni, azt folyamatosan továbbfejleszteni, a "szolgáltató" pedig viszonylagos biztonságban számolhatja a nem is általa végrehajtott akciókból származó bevételeit.
Így lehet sok önálló kiberbiztonsági eszközéből egy erősebbet csinálni
A kulcsszó a platform. Ha egy cég jó platformot választ, akkor az egyes eszközök előnyei nem kioltják, hanem erősítik egymást, és még az üzemeltetés is olcsóbb lesz.
Három fájdalompont, amire az IT szolgáltatásmenedzsment gyors válaszokat adhat.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak