Programele crypto-ramsomware – un tip de malware care criptează documentele victimelor și cere o răscumpărare în schimbul decriptării – sunt în prezent unul dintre cele mai periculoase tipuri de malware. Potrivit datelor Kaspersky Lab, în 2016, peste 1.445.000 de utilizatori de pe glob (inclusiv companii) au fost atacați cu acest tip de malware. Pentru a putea înțelege mai bine natura acestor atacuri, cercetătorii Kaspersky Lab au efectuat o analiză a comunității infracționale vorbitoare de limbă rusă. Una dintre principalele concluzii este cea că intensificarea atacurilor ransomware observate în anii trecuți este rezultatul unui ecosistem underground flexibil și foarte simplu de folosit, permițând infractorilor să lanseze campanii crypto-ramsomware, aproape indiferent de nivelul abilităților de utilizare a computerelor sau de resursele financiare deținute.

Cercetătorii Kaspersky Lab au identificat trei niveluri ale implicării infracționale în afacerea cu ransomware:
–   Crearea și actualizarea unor noi familii ransomware;
–  Dezvoltarea și oferirea de suport pentru programele afiliate care distribuie ransomware;
–  Participarea la programe afiliate ca partener.

Primul tip de implicare pretinde participantului să aibă cunoștințe avansate de programare. Infractorii cibernetici care creează noi programe ransomware sunt cei mai privilegiați membri, deoarece ei dezvoltă elementele cheie ale întregului ecosistem. 
La nivelul secundar al ierarhiei sunt dezvoltatorii programelor afiliate. Aceștia sunt comunități infracționale care, cu ajutorul diverselor instrumente, precum kit-urile de exploit-uri și malware spam, livrează programele ransomware.

Partenerii programelor afiliate sunt la nivelul inferior al întregului sistem. Utilizând diverse tehnici, ei îi ajută pe deținătorii programelor afiliate să distribuie conținutul malware în schimbul unei părți din răscumpărarea primită de aceștia. Participanții la aceste programe afiliate nu trebuie să aibă decât intenția și disponibilitatea de a face activități ilegale și câteva monede bitcoins.    
Conform estimărilor Kaspersky Lab, venitul zilnic total al unui program afiliat poate atinge zeci sau chiar sute de mii de dolari, dintre care aproape 60% rămân în buzunarele infractorilor ca profit net.

În plus, pe parcursul cercetării ecosistemului infracțional și a numeroaselor operațiuni de răspuns la incidente, experții Kaspersky Lab au reușit să identifice câteva grupuri mari de infractori vorbitori de limbă rusă, specializați în dezvoltarea și distribuția de programe crypto-ransomware. Aceste grupuri ar putea să reunească zeci de parteneri, fiecare cu propriul program afiliat, iar lista celor vizați include nu doar utilizatori obișnuiți de Internet, ci și companii mici și mijlocii sau chiar corporații. După ce inițial au vizat doar utilizatori și organizații din Rusia și din alte țări aparținând Comunității Statelor Independente, aceste grupuri iau acum în vizor companii localizate în alte regiuni ale lumii. 

“Este dificil să spunem de ce atât de multe familii ransomware au la origine vorbitori de limbă rusă, dar și mai important este că observăm acum dezvoltarea lor de la grupuri mici, având capacități limitate, către întreprinderi infracționale mari, care au resursele și intenția de a ataca și alte ținte în afara celor din Rusia”, spune Anton Ivanov, Security Researcher la Kaspersky Lab și autorul lucrării. “Am văzut o situație asemănătoare cu grupurile de malware financiar precum Lurk. Și ei au început tot cu atacuri masive la adresa utilizatorilor de online banking, iar apoi au evoluat către grupuri complexe, capabile să jefuiască organizații mari precum băncile. Sun Tzu spunea: “dacă îți cunoști dușmanul și te cunoști pe tine însuți, nu trebuie să-ți fie frică de rezultatul a o sută de bătălii”. Din acest motiv am făcut această analiză: bandele ransomware se tranformă în dușmani foarte puternici, iar pentru publicul larg și comunitatea de securitate IT este important să aflăm cât mai mult posibil despre ei”, încheie Anton Ivanov.