Zašto je ransomware Cerber biznis od milion dolara

Opisi virusa, 19.08.2016, 07:30 AM

Zašto je ransomware Cerber biznis od milion dolara

Posle duge istrage, dve izraelske kompanije Check Point i IntSights objavile su zajednički izveštaj koji pruža dublji uvid u delovanje kriminalne grupe koja stoji iza ransomwarea Cerber, kao i u razmere njegove ekspanzije koja je usledila pošto je ovaj ransomware otkriven početkom proleća ove godine. Stručnjaci izraelskih kompanija tvrde da je Cerber jedna od najunosnijih RaaS (Ransomware as a Service) platformi u svetu koja kriminalnoj grupi koja je zaslužna za njegov razvoj obezbeđuje mesečnu zaradu od oko 78000 dolara, što znači da Cerber godišnje zaradi skoro milion dolara (946000 dolara).

Dok su istraživali operacije ovog kompleksnog ransomware servisa, izraelski stručnjaci uspeli su da naprave dekripter da bi pomogli žrtvama da svoje “otete” fajlove besplatno dešifruju.

Autori Cerbera odlučili su se za poslovni model “ransomware kao servis”, što znači da se ransomware iznajmljuje drugim sajber kriminalcima, njihovim partnerima, kojima preostaje posao distribucije, odnosno, infekcije računara.

Ovakav pristup nije revolucionaran i ranije su ga koristili mnogi drugi sajber kriminalci za svoje ransomwaree, kao što su na primer autori ransomwarea Chimera i Petya.

Kada je reč o modelu distribucije Cerbera, on se uglavnom oslanja na exploit alate. U većini kampanja distribucije ransomwarea, sajber kriminalci su se odlučivali za exploit alat Magnitude, koji je odgovoran za 84% infekcija ransomwarea Cerber do kojih je došlo upotrebom exploit alata. Pored ovog, korišćeni su i neki drugi exploit alati kao što su Neutrino (14%) i RIG (2%).

Izraelski stručnjaci se nisu samo bavili time kako sajber kriminalci dobijaju novac od žrtava, već su pratili i put novca do kriminalaca.

Ransomware Cerber traži od žrtava da na ime otkupnine uplate 1 bitcoin (oko 580 dolara). Sve uplate idu preko desetine hiljada bitcoin novčanika, zbog čega je skoro nemoguće pratiti pojedinačne transakcije, do bitcoin novčanika koji kontrolišu tvorci ransomwarea, koji onda deo toga prosleđuju partnerima koji su zaslužni za infekcije.

“Cerber ima široku distribuciju, delom zahvaljujući uspešnom korišćenju vodećih exploit alata. Praćenjem komunikacija sa komando-kontrolnim serverima (C&C serveri), mogli smo da napravimo kompletan pregled aktivnosti ransomwarea. Trenutno je u toku 161 kampanja, što znači da se u proseku dnevno pokrene osam kampanja, koje su samo tokom prošlog meseca uspešno inficirale približno 150000 korisnika širom sveta u 201 zemlji”, kaže se u izveštaju.

Prateći ove infekcije i uplate, stručnjaci su procenili da je RaaS Cerber samo u julu ove godine zaradio 195000 dolara.

Autori ransomwarea zadržavaju 40% zarade, što znači da su samo u julu zaradili oko 78000 dolara. Ostatak se prosleđuje partnerima koji su pomogli u distribuciji malvera.

To je znatno veći procent od onog koji drugi vlasnici ransomware servisa traže. Autori nedavno otkrivenog Shark Ransomware Projecta zadržavaju svega 20% zarade.

“Veoma profitabilni biznis sa ransomwareom nije više rezervisan samo za iskusne napadače”, zaključak je izraelskih stručnjaka. “Čak i haker početnik lako može doći do foruma zatvorenog tipa da bi nabavio nedetektovanu verziju ransomwarea i određeni set infrastrukturnih komandno-kontrolnih servera potrebnih za lako upravljanje uspešnom ransomware kampanjom.”

Partnerski model koji primenjuju autori Cerbera je, nema sumnje, veoma uspešan.

A zašto ne bi bio kad i haker početnik ne mora da uloži ni dinar da bi dobio pristup C&C serverima i kontrolnom interfejsu na 12 jezika, da bi započeo svoju kampanju od koje će zadržati 60% profita?

Osim toga, većina partnera može biti sigurna da nikada neće biti uhvaćeni.

Iako svega 0,3% žrtava pristane da plati otkupninu da bi vratile fajlove, to je dovoljno da autori ransomware zarade skoro milion dolara na godišnjem nivou samo od partnerskog programa, što objašnjava zbog čega je Cerber trenutno najprofitabilniji RaaS.

Izveštaj sa više tehničkih detalja možete preuzeti ovde.

Da biste izbegli posledice infekcije ransomwareom Cerber, izbegavajte sumnjive linkove i priloge u emailovima, redovno pravite backup važnih podataka i redovno ažurirajte softver na računaru.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili... Dalje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware koji inficira Android uređaje širi se slanjem tekstualnih poruka koje sadrže maliciozne linkove svima sa liste kontakata koja se na... Dalje

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Ch... Dalje

25 miliona Android uređaja zaraženo malverom Agent Smith

25 miliona Android uređaja zaraženo malverom Agent Smith

Istraživači iz firme Check Point otkrili su novi malver za Android uređaje koji je nazvan "Agent Smith". Agent Smith je neprimetno zarazio oko 25 m... Dalje

Novi malver za Mac se širi preko rezultata Google pretrage

Novi malver za Mac se širi preko rezultata Google pretrage

Istraživač Džošua Long iz kompanije Intego otkrio je novi malver koji inficira Mac računare. Malver nazvan OSX/CrescentCore, je trojanac, a prime... Dalje