Analýza primitivního ransomwaru poukázala na nebezpečný trend

Výzkumníci z kyberbezpečnostní firmy Abnormal Security podrobně analyzovali e-mail od útočníka, který žádá oběti, aby mu pomohli nainstalovat ransomware do firemní sítě za podíl ze zisku. Popsali tak amatérskou ransomwarovou kampaň využívající sociální inženýrství. Proč, ptáte se? Výzkumníci chtěli na tomto případu ukázat, že i když takováto amatérská kampaň není nijak zvlášť úspěšná, dokazuje dlouhodobý trend: kybernetický zločin se demokratizuje, stává stále dostupnějším a v případě ransomwaru také čím dál víc atraktivním.

Amatérská v tomto případě nebyla jen samotná zpráva, ale také samotný software. Ransomware známý jako DemonWare (občas také pod názvy jako Black Kingdomm nebo DEMON) je jednou z nejméně sofistikovaných forem ransomwaru. Jeho úspěšnost je velmi nízká, ale je k sehnání na černém trhu za několik málo dolarů, a tak najdeme zločince, kteří ho stále používají.

V analyzovaném případě útočník využíval sociální síť LinkedIn, kde získal veřejně dostupné informace a identifikoval cíle, zaměstnance specifických organizací. Ty pak oslovil e-mailem s dotazem, zda mu pomohou do firemní sítě nainstalovat ransomware výměnou za milion dolarů, což dělalo asi 40 % z potenciálního výkupného ve výši 2,5 milionu dolarů. Brzy ale vyšlo najevo, že útočník není příliš sofistikovaným kyberzločincem, a navrhovanou cenu výkupného rychle snížil na 120 tisíc dolarů.

Třebaže úspěch tohoto konkrétního útoku je mizivý, podle expertů jasně poukazuje na to, jak přitažlivým a dostupným se ransomware stal. I jiné, zkušenější týmy hackerů využívají k přístupu do firemních sítí takzvané insidery – tedy lidi, kteří uvnitř firmy pracují a kteří jim pomohou s útokem. Příkladem je mnohem sofistikovanější a nebezpečný ransomware LockBit. Ten pravidelně inzeruje, že hledá právě takové insidery, kteří by mu s realizací útočné kampaně pomohli.