Zašto je ransomware Cerber biznis od milion dolara

Opisi virusa, 19.08.2016, 07:30 AM

Posle duge istrage, dve izraelske kompanije Check Point i IntSights objavile su zajednički izveštaj koji pruža dublji uvid u delovanje kriminalne grupe koja stoji iza ransomwarea Cerber, kao i u razmere njegove ekspanzije koja je usledila pošto je ovaj ransomware otkriven početkom proleća ove godine. Stručnjaci izraelskih kompanija tvrde da je Cerber jedna od najunosnijih RaaS (Ransomware as a Service) platformi u svetu koja kriminalnoj grupi koja je zaslužna za njegov razvoj obezbeđuje mesečnu zaradu od oko 78000 dolara, što znači da Cerber godišnje zaradi skoro milion dolara (946000 dolara).

Dok su istraživali operacije ovog kompleksnog ransomware servisa, izraelski stručnjaci uspeli su da naprave dekripter da bi pomogli žrtvama da svoje “otete” fajlove besplatno dešifruju.

Autori Cerbera odlučili su se za poslovni model “ransomware kao servis”, što znači da se ransomware iznajmljuje drugim sajber kriminalcima, njihovim partnerima, kojima preostaje posao distribucije, odnosno, infekcije računara.

Ovakav pristup nije revolucionaran i ranije su ga koristili mnogi drugi sajber kriminalci za svoje ransomwaree, kao što su na primer autori ransomwarea Chimera i Petya.

Kada je reč o modelu distribucije Cerbera, on se uglavnom oslanja na exploit alate. U većini kampanja distribucije ransomwarea, sajber kriminalci su se odlučivali za exploit alat Magnitude, koji je odgovoran za 84% infekcija ransomwarea Cerber do kojih je došlo upotrebom exploit alata. Pored ovog, korišćeni su i neki drugi exploit alati kao što su Neutrino (14%) i RIG (2%).

Izraelski stručnjaci se nisu samo bavili time kako sajber kriminalci dobijaju novac od žrtava, već su pratili i put novca do kriminalaca.

Ransomware Cerber traži od žrtava da na ime otkupnine uplate 1 bitcoin (oko 580 dolara). Sve uplate idu preko desetine hiljada bitcoin novčanika, zbog čega je skoro nemoguće pratiti pojedinačne transakcije, do bitcoin novčanika koji kontrolišu tvorci ransomwarea, koji onda deo toga prosleđuju partnerima koji su zaslužni za infekcije.

“Cerber ima široku distribuciju, delom zahvaljujući uspešnom korišćenju vodećih exploit alata. Praćenjem komunikacija sa komando-kontrolnim serverima (C&C serveri), mogli smo da napravimo kompletan pregled aktivnosti ransomwarea. Trenutno je u toku 161 kampanja, što znači da se u proseku dnevno pokrene osam kampanja, koje su samo tokom prošlog meseca uspešno inficirale približno 150000 korisnika širom sveta u 201 zemlji”, kaže se u izveštaju.

Prateći ove infekcije i uplate, stručnjaci su procenili da je RaaS Cerber samo u julu ove godine zaradio 195000 dolara.

Autori ransomwarea zadržavaju 40% zarade, što znači da su samo u julu zaradili oko 78000 dolara. Ostatak se prosleđuje partnerima koji su pomogli u distribuciji malvera.

To je znatno veći procent od onog koji drugi vlasnici ransomware servisa traže. Autori nedavno otkrivenog Shark Ransomware Projecta zadržavaju svega 20% zarade.

“Veoma profitabilni biznis sa ransomwareom nije više rezervisan samo za iskusne napadače”, zaključak je izraelskih stručnjaka. “Čak i haker početnik lako može doći do foruma zatvorenog tipa da bi nabavio nedetektovanu verziju ransomwarea i određeni set infrastrukturnih komandno-kontrolnih servera potrebnih za lako upravljanje uspešnom ransomware kampanjom.”

Partnerski model koji primenjuju autori Cerbera je, nema sumnje, veoma uspešan.

A zašto ne bi bio kad i haker početnik ne mora da uloži ni dinar da bi dobio pristup C&C serverima i kontrolnom interfejsu na 12 jezika, da bi započeo svoju kampanju od koje će zadržati 60% profita?

Osim toga, većina partnera može biti sigurna da nikada neće biti uhvaćeni.

Iako svega 0,3% žrtava pristane da plati otkupninu da bi vratile fajlove, to je dovoljno da autori ransomware zarade skoro milion dolara na godišnjem nivou samo od partnerskog programa, što objašnjava zbog čega je Cerber trenutno najprofitabilniji RaaS.

Izveštaj sa više tehničkih detalja možete preuzeti ovde.

Da biste izbegli posledice infekcije ransomwareom Cerber, izbegavajte sumnjive linkove i priloge u emailovima, redovno pravite backup važnih podataka i redovno ažurirajte softver na računaru.