Epidemia ransomware wciąż szaleje, szyfrując pliki zarówno osób prywatnych jak i firm. Ransomware powoli staje się problemem globalnym – wg FBI, skumulowane przychody z takiej działalności sięgnęły 209 milionów dolarów w pierwszym kwartale 2016 roku. Nasuwa się pytanie – dokąd trafiają te pieniądze? Dotychczas większość operacji ransomware (ransom – okup) przeprowadzonych było przez jednego atakującego – twórca malware był również dystrybutorem i jedyną osobą czerpiącą zyski z okupu.
Jednak od jakiegoś czasu obserwujemy wzrost tzw. trendu ransomware-as-a-service, czyli hakerskich usług związanych z e-okupami. Twórca rekrutuje swoich partnerów, którzy dystrybuują oprogramowanie w zamian za udział w zyskach. Taka taktyka pozwala na szersze rozpowszechnienie malware i generowanie wyższych zysków. Co ważne, obecna sytuacja pozwala nawet osobom nietechnicznym prowadzić wysokodochodowy „biznes”, uruchamiając niezależne kampanie za pomocą przypisanego zestawu serwerów C&C (Command&Control) i kompleksowego panelu sterowania.
Do tej pory ransomware-as-a-service był nieznanym zjawiskiem wśród działań cyberprzestępców. Niewiele wiedziano na temat działania tego specyficznego systemu franczyzowego, co utrudniało efektywne śledzenie przestępców. Firmy Check Point i IntSights przeprowadziły w ostatnim czasie śledztwo w sprawie Cerber, jednego z najpotężniejszych ransomware-as-a-service na świecie. Opublikowany przez Check Pointa raport ujawnia nie tylko szczegóły techniczne przedsięwzięcia ale również porusza kwestie funkcjonowania „franczyzy” od początku do końca.
Cerber – maszynka do zarabiania pieniędzy
Cerber posiada szeroki system dystrybucyjny, a jego popularność wiąże się m.in. z bezproblemowym zaadaptowaniem do wiodących exploit-kitów. Dzięki monitorowaniu komunikacji C&C, Check Point był w stanie stworzyć pełen obraz funkcjonowania tego ransomware.
Być może najbardziej intrygującym aspektem Cerbera jest jego cash flow. Cerber używa kryptowaluty BitCoin, która pozwala uniknąć wszczęcia przez odpowiednie organy śledztwa, tworząc przy tym unikalny portfel BitCoinów dla każdej ze swoich ofiar z osobna. Po zapłaceniu okupu (wynoszącym zazwyczaj 1 Bitcoin, wart około 2240zł) ofiara otrzymuje klucz do deszyfrowania plików. Następnie BitCoiny trafiają do twórcy malware, przechodząc po drodze przez platformę miksującą, zawierającą dziesiątki tysięcy różnych portfeli, co praktycznie uniemożliwia namierzenie każdej operacji z osobna. W końcu, po zaksięgowaniu BitCoinów w portfelu dewelopera malware, każdy z partnerów otrzymuje swój własny procent od zysków.
Dzięki monitorowaniu danych dostarczonych przez serwery C&C, Check Point zdołał odtworzyć rzeczywiste portfele ofiar, co może pomóc w skutecznym monitorowaniu płatności i transakcji z udziałem każdego z tych portfeli. Jak twierdzą przedstawiciele firmy, dzięki dokładnym analizom Check Point jest w stanie jest w stanie wskazać rzeczywiste dochody uzyskiwane za pomocą złośliwego oprogramowania, jak i śledzić właściwy przepływ pieniędzy.
Zysk całkowity uzyskany za pomocą Cerbera wynosił w lipcu 195 tys. dolarów, z czego główny deweloper uzyskał około 78 tys. Reszta podzielona została wśród współpracowników, w oparciu o ilość skutecznych infekcji i zapłacone okupy. Szacuje się, że w rocznej perspektywie zyski całkowite kampanii mogą sięgać nawet 2,3 miliona dolarów!
Cerber popularny również w Polsce
Obecnie Cerber co miesiąc prowadzi blisko 160 kampanii, skierowanych przeciw 150 tys. użytkowników na całym świecie. Każdego dnia uruchamia się średnio 8 kampanii!
Jak twierdzą analitycy z Check Pointa źródłem Cerber jest prawdopodobnie Rosja. Co ciekawe pliki konfiguracyjne wskazują, że malware nie zaraża urządzeń z części byłego bloku wschodniego: Armenii, Azerbejdżanu, Białorusi, Gruzji, Kirgistanu, Kazachstanu, Mołdawii, Rosji, Turkmenistanu, Tadżykistanu, Ukrainy i Uzbekistanu.
Najczęściej do ataków prowadzonych za pomocą Cerbera dochodzi w Korei Południowej – to tam realizowanych jest blisko 40% wszystkich kampanii. Wśród najbardziej zagrożonych państw znajdują się również Chiny (9%), Tajwan (6%) i Stany Zjednoczone (5%). Wg raportu, w Polce w najbardziej „gorących” miesiącach mogło dochodzić nawet do 15 tys. ataków! To wartość przybliżona do Francji czy Wielkiej Brytanii, jednak mniejsza niż w Niemczech, we Włoszech (2% wszystkich ataków) czy w Rumunii.