Ransomware się opłaca? 25 milionów dolarów z okupów w dwa lata

W ciągu ostatnich dwóch lat ofiary ransomware zapłaciły przestępcom ponad 25 milionów dolarów, twierdzą badacze z Chainalysis, Google, Uniwersytetu Kalifornijskiego w San Diego i Uniwersytetu Nowojorskiego. Naukowcy oparli się w swojej analizie na danych transakcji z bazy blockchain oraz porównaniu ich ze znanymi próbkami ransomware'u. Na tej podstawie byli w stanie stworzyć ogólny obraz transakcji wymuszonych oprogramowaniem szantażującym użytkowników.

Ransomware zdobyło w ostatnich latach olbrzymią popularność wśród cyberprzestępców. Po zarażeniu komputera ofiary szkodliwy kod szyfruje dane użytkownika, a za ich odszyfrowanie przestępcy domagają się pieniędzy. Najpoważniejszym problemem ataki ransomware mogą być dla przedsiębiorstw, dla których brak dostępu nawet do części danych może oznaczać kolosalne straty.

Badacze prześledzili działanie 34 różnych rodzin ransomware i stwierdzili, że większość dochodów przestępcy uzyskują z kilku z nich. Rekordzistą jest rodzina Locky, która wywołała ostatnią epidemię infekcji. Gdy pojawiła się ona na początku 2016 roku cyberprzestępcy zanotowali olbrzymi wzrost płatności. Do dzisiaj ich ofiary zapłaciły im ponad 7 milionów dolarów. Rodzina Locky odniosła olbrzymi sukces dlatego, że jako pierwszy szkodliwy program tego typu, miała oddzielną infrastrukturę do płatności i szyfrowania, a oddzielną do dystrybucji. To pozwoliło jej rozprzestrzeniać się szybciej i zyskać większy zasięg niż konkurencja.

Wielką zaletą Locky było oddzielenie ludzi utrzymujących szkodliwy kod od ludzi dokonujących infekcji. Twórcy Locky skupili się na programowaniu i zbudowaniu infrastruktury wspierającej. Dokonywaniem infekcji zajmowały się oddzielne botnety, co okazało się lepszym modelem biznesowym, powiedział profesor Damon McCoy z Uniwersytetu Nowojorskiego.

Duże sukcesy odnosiły też rodziny Cerber i CryptXXX. Ofiary pierwszej z nich zapłaciły przestępcom 6,9 miliona dolarów, a drugiej – 1,9 miliona. Oczywiście trzeba pamiętać, że wszystkie podawane tu kwoty dotyczą opłat wniesionych przez szantażowanych użytkowników. Nie wiadomo jaka część z tych pieniędzy trafiła do oryginalnych twórców szkodliwego kodu.

Twórcy ransomware'u korzystają też z zaawansowanych technik omijania systemów antywirusowych bazujących na sygnaturach. Ich programy potrafią zmieniać swój kod, dzięki czemu przechodzą przez filtry. Podczas swojej pracy badacze każdego miesiąca trafiali np. na tysiące wariantów kodu pochodzących od Cerbera.