Из 62 новых семейств программ вымогателей-шифровальщиков, обнаруженных исследователями «Лаборатории Касперского» в 2016 году, по крайней мере 47 были разработаны русскоязычными киберпреступниками. Это один из выводов в обзоре русскоязычного подполья программ-вымогателей, проведенном учеными «Лаборатории Касперского». Обзор также показал, что небольшие группы с ограниченными возможностями трансформируются в крупные криминальные предприятия, обладающие ресурсами и намерениями атаковать частные лица и корпорации по всему миру.
Программы вымогатели-шифровальщики — тип вредоносных программ, которые шифруют файлы жертвы и требуют выкуп в обмен на расшифровку — сегодня являются одними из самых опасных вредоносных программ. По данным «Лаборатории Касперского», в 2016 году более 1,445 млн пользователей (в т.ч. предприятия) по всему миру подверглись нападению этих типов вредоносных программ. Чтобы лучше понять природу таких атак, эксперты «Лаборатории Касперского» провели обзор русскоязычного подпольного сообщества. Один из основных выводов состоит в том, что распространенность атак с применением программ вымогателей-шифровальщиков в последние годы — результат очень гибкой и удобной подпольной экосистемы, позволяющей мошенникам запускать целые кампании атак с вымогателями-шифровальщиками практически с любым уровнем компьютерных навыков и финансовых ресурсов.
Исследователи «Лаборатории Касперского» определили три уровня вовлеченности в преступление в бизнесе программ-вымогателей: создание и обновление новых семейств программ-вымогателей, развитие и поддержка партнерских программ, распространяющих вредоносные коды, а также участие в программах в качестве партнера.
Первый тип вовлеченности требует от участника расширенных навыков написания кодов. Злоумышленники, создающие новые виды вымогателей, являются самыми привилегированными в подпольном мире, т.к. создают ключевой элемент всей экосистемы. На втором уровне иерархии — разработчики партнерских программ. Это преступные сообщества, которые — с помощью различных дополнительных инструментов, таких как вредоносные коды и спам — доставляют программы-вымогатели, выпущенные создателями вредоносов. Участники партнерских программ находятся на самом низком уровне этой системы. Используя различные методы, они помогают владельцам партнерских программ распространять вредоносов в обмен на долю из выкупа, получаемого владельцами программы. Только намерение, готовность совершать незаконные действия и пара биткоинов требуются участникам партнерских программ, чтобы попасть в этот бизнес.
По оценкам «Лаборатории Касперского», общий ежедневный доход от партнерской программы может достигать десятков и даже сотен тысяч долларов, из которых около 60% остается в карманах преступников в виде чистой прибыли.
«Мы видим, что маленькие группы, работающие с этими зловредами, постепенно уступают место большим объединениям злоумышленников, которые способны проводить масштабные атаки. Нечто подобное мы наблюдали ранее с русскоязычной финансовой киберпреступностью — достаточно вспомнить нашумевшую группировку Lurk. Именно поэтому мы решили внимательно изучить русскоязычное киберпреступное сообщество. Группировки, создающие шифровальщиков, превращаются в сильного противника, и мы должны знать о нем как можно больше», — отметил Антон Иванов, антивирусный эксперт «Лаборатории Касперского».