A zsarolóvírusok évek óta az egyik legnagyobb problémát jelentik az informatikai biztonság területén. Ez nem csak a potenciálisan megszerezhető hatalmas összegeknek köszönhető, hanem annak is, hogy a ransomware-ek fejlesztői mostanra a hagyományos (legális) szoftverszolgáltatások rugalmasságával és könnyű kezelhetőségével vetekedő rendszereket építettek ki. Ráadásul ezek a bűnözői csoportok azt is felismerték, hogy a sűrű fillér jobb, mint a ritka forint.

A Group-IB biztonsági cég részletes elemzést adott ki az alig egy éve felbukkant Qilin zsarolóvírust terítő banda működéséről és üzleti modelljéről. A csoport természetesen a már hosszú évek óta létező Ransomware-as-a-Service (RaaS) koncepciót követi, azaz az általuk fejlesztett kártékony kódot előfizetéses formában teszik elérhetővé az internet sötétebb felén.

Vonzó ajánlat

Jutalékos rendszerük egészen gálánsnak mondható. A 3 millió dollárnál kisebb váltságdíjak esetében a "terméküket" használó bűnözők a fogás 80 százalékát megtarthatják. Amennyiben viszont ennél is jelentősebb összegről van szó, akkor mindössze 15 százalékot kell leadni a ransomware fejlesztőjének.

Mindezt a legális piacon korábban széles körben, például a nagy mobilos alkalmazás-áruházaknál is alkalmazott 30 százalékos rátával érdemes összevetni. A 30 százalék miatt lázadt fel például az Epic Games is, és ment perre az Apple és a Google ellen. Utóbbiak a jogi és szabályozói nyomás hatására az elmúlt időszakban elkezdték mérsékelni igényeiket.

A Qilin esetében alkalmazott jutalékrendszer egyébként mostanra nagyjából az alvilági sztenderdnek tekinthető, hiszen más jelentések alapján is az látszik, hogy a ransomware-ek fejlesztői egyre több pénzt hagynak a kártevőjüket használó "ügyfeleknél". A BlackCat esetében például néhány évvel ezelőtt még 65-75 százalék maradt a támadásokat végrehajtó partnereknél, ma már viszont akár 80-90 százalékát is megtarthajták a zsákmánynak. 

Bejáratott modell

Ahogy említettük, a Raas már egy teljesen bejáratott üzleti modellnek tekinthető alvilági körökben. A Group-IB egy korábbi riportja szerint például a cég által elemzett, 2020-ban végrehajtott zsarolóvírus-támadások közel kétharmadánál már ilyen konstrukcióban dolgoztak az elkövetők.

A zsarolóvírusok fejlesztői tényleg mindent megtesznek a partnerek kényelméért: információs portált üzemeltetnek, blogbejegyzésekkel, gyakori kérdésekre adott válaszok összegyűjtésével, dedikált fórummal igyekeznek megkönnyíteni az illegális akciók megfelelő előkészítését.

A ransomware-ek bérlése sajnos minden érintett fél számára kedvező, ami egyben megmagyarázza népszerűségét is a kiberbűnözők körében. A támadónak így nem kell magas technológiai tudással rendelkező szakemberek bevonásával saját kódot alkotni, azt folyamatosan továbbfejleszteni, a "szolgáltató" pedig viszonylagos biztonságban számolhatja a nem is általa végrehajtott akciókból származó bevételeit.