קספרסקי: יותר מ-75% מתוכנות הכופר ב-2016 הגיעו מעברייני סייבר דוברי רוסית
עמי רוחקס דומבה
| 15/02/2017
securelist.com
מתוך 62 משפחות חדשות של תוכנות כופר מצפינות, אשר נחשפו על ידי חוקרי מעבדת קספרסקי ב- 2016, לפחות 47 פותחו על ידי עברייני סייבר דוברי רוסית. זהו אחד הממצאים של חקירת העולם התחתון דובר הרוסית לתוכנות כופר, אשר נערכה על ידי חוקרי מעבדת קספרסקי. החקירה מעלה גם כי קבוצות קטנות, בעלות יכולות מוגבלות, הפכו בשנים האחרונות לארגוני פשיעה גדולים בעלי משאבים ואינטרס לתקוף מטרות תאגידיות ופרטיות ברחבי העולם.
תוכנות כופר – סוג של קוד זדוני המצפין את הקבצים של קורבנותיו ודורש מהם דמי כופר בתמורה לשחרור ההצפנה – הפכו בשנה האחרונה לאחד מסוגי הקוד הזדוני המסוכנים ביותר. על פי נתוני מעבדת קספרסקי, במהלך 2016, יותר מ- 1,445,000 משתמשים (פרטיים ועסקיים) ברחבי העולם נפלו קורבן למתקפות כופר. במטרה להבין טוב יותר את אופי ההתקפות האלה, חוקרי מעבדת קספרסקי ערכו חקירה של קהילת העולם התחתון דובר הרוסית. אחת מהמסקנות המרכזיות היא כי הגידול בהתקפות כופר שנצפה בשנים האחרונות, הוא תוצאה של סביבת עולם תחתון גמישה וידידותית מאוד למשתמש. עולם זה מאפשר לעבריינים להשיק מתקפות כופר כמעט ללא צורך בכישורי מחשב או משאבים פיננסים.
חוקרי מעבדת קספרסקי זיהו 3 רמות של מעורבות בעסקי הכופר:
- יצירה ועדכון של משפחות תוכנות כופר
- פיתוח ותמיכה בתוכניות שותפים (אפילייט) להפצת תוכנות הכופר
- השתתפות בתוכנית שותפים
הסוג הראשון של המעורבות דורש מהמשתמש יכולות מתקדמות של כתיבת קוד. עברייני הסייבר אשר יצרו גרסאות חדשות של תוכנות הכופר הם החברים המיוחסים ביותר בעולם התחתון של תוכנות הכופר, מאחר והם אלו שיוצרים את הרכיב סביבו נבנית כל הפעילות.
ברמה השנייה בסולם הדרגות נמצאים המפתחים של תוכניות שותפים. אלה הן קהילות עבריינים – אשר בשילוב כלים נוספים, כגון ערכות פריצה וספאם זדוני – מספקות את תוכנות הכופר שכתבו היוצרים.
השותפים בתוכניות השותפים הם ברמה הנמוכה ביותר בפירמידה. באמצעות טכניקות שונות הם מסייעים לבעלי תוכניות השותפים להפיץ את הקוד הזדוני בתמורה לנתח מהכופר. כל מה שנדרש מהחברים בתוכניות השותפים כדי להיכנס לעסקי העולם התחתון הוא מוכנות לבצע פעילות בלתי חוקית וכמה מטבעות ביטקוין. על פי הערכות של מעבדת קספרסקי, סך ההכנסות היומיות מתוכניות שותפים יכול להגיע לעשרות ואף מאות אלפי דולרים, שמתוכם כ- 60% נותרים בכיסי העבריינים כרווח נקי.
יותר מכך, במהלך המחקר שלהם, חוקרי מעבדת קספרסקי הצליחו לזהות מספר קבוצות עבריינים גדולות של דוברי רוסית המתמחים בפיתוח והפצה של תוכנות כופר. קבוצות אלו יכולות לאחד תחתן עשרות חברים שונים, שלכל אחד תוכנית שותפים משלו. רשימת המטרות של הקבוצות הגדולות האלה כוללת לא רק משתמשי אינטרנט רגילים, אלא גם חברות בגודל קטן ובינוני ואף ארגונים גדולים. במקור, קבוצות אלו התמקדו במשתמשים וגופים ברוסיה ובחבר המדינות, וכעת הן מעבירות את המיקוד שלהם אל חברות הממוקמות באזורים אחרים בעולם.
"קשה לומר מדוע משפחות רבות כל כך של תוכנות כופר מגיעות ממקור רוסי, אבל מה שחשוב יותר זה שאנו צופים כעת בהפיכתן של קבוצות קטנות עם יכולות מוגבלות לארגוני פשיעה גדולים שיש להם את המשאבים ואת הרצון לתקוף מטרות מעבר לרוסיה עצמה. ראינו משהו דומה בקבוצות של קוד זדוני פיננסי, כגון Lurk. גם שם החלו עם התקפות מאסיביות על משתמשים של מגזר הבנקאות, כשבהמשך הם התפתחו לקבוצות מתוחכמות המסוגלות לשדוד ארגונים גדולים, כמו בנקים. סון צו אמר: אם אתה מכיר את האויב שלך ומכיר את עצמך, אתה לא צריך לפחד מהתוצאה של מאה קרבות. זו הסיבה שיצרנו את הסקירה הזאת: כנופיות תוכנות כופר הופכות לאויבים עוצמתיים מאוד, ועבור הציבור וקהילת האבטחה, חשוב מאוד ללמוד עליהן ככל הניתן", אמר אנטון איבנוב, חוקר אבטחה במעבדת קספרסקי, ומחבר הסקירה.
מידע נוסף על העולם התחתון דובר הרוסית לתוכנות כופר וכיצד הוא פועל ניתן לקרוא ב-Securelist
מתוך 62 משפחות חדשות של תוכנות כופר מצפינות, אשר נחשפו על ידי חוקרי מעבדת קספרסקי ב- 2016, לפחות 47 פותחו על ידי עברייני סייבר דוברי רוסית. זהו אחד הממצאים של חקירת העולם התחתון דובר הרוסית לתוכנות כופר, אשר נערכה על ידי חוקרי מעבדת קספרסקי. החקירה מעלה גם כי קבוצות קטנות, בעלות יכולות מוגבלות, הפכו בשנים האחרונות לארגוני פשיעה גדולים בעלי משאבים ואינטרס לתקוף מטרות תאגידיות ופרטיות ברחבי העולם.
תוכנות כופר – סוג של קוד זדוני המצפין את הקבצים של קורבנותיו ודורש מהם דמי כופר בתמורה לשחרור ההצפנה – הפכו בשנה האחרונה לאחד מסוגי הקוד הזדוני המסוכנים ביותר. על פי נתוני מעבדת קספרסקי, במהלך 2016, יותר מ- 1,445,000 משתמשים (פרטיים ועסקיים) ברחבי העולם נפלו קורבן למתקפות כופר. במטרה להבין טוב יותר את אופי ההתקפות האלה, חוקרי מעבדת קספרסקי ערכו חקירה של קהילת העולם התחתון דובר הרוסית. אחת מהמסקנות המרכזיות היא כי הגידול בהתקפות כופר שנצפה בשנים האחרונות, הוא תוצאה של סביבת עולם תחתון גמישה וידידותית מאוד למשתמש. עולם זה מאפשר לעבריינים להשיק מתקפות כופר כמעט ללא צורך בכישורי מחשב או משאבים פיננסים.
חוקרי מעבדת קספרסקי זיהו 3 רמות של מעורבות בעסקי הכופר:
- יצירה ועדכון של משפחות תוכנות כופר
- פיתוח ותמיכה בתוכניות שותפים (אפילייט) להפצת תוכנות הכופר
- השתתפות בתוכנית שותפים
הסוג הראשון של המעורבות דורש מהמשתמש יכולות מתקדמות של כתיבת קוד. עברייני הסייבר אשר יצרו גרסאות חדשות של תוכנות הכופר הם החברים המיוחסים ביותר בעולם התחתון של תוכנות הכופר, מאחר והם אלו שיוצרים את הרכיב סביבו נבנית כל הפעילות.
ברמה השנייה בסולם הדרגות נמצאים המפתחים של תוכניות שותפים. אלה הן קהילות עבריינים – אשר בשילוב כלים נוספים, כגון ערכות פריצה וספאם זדוני – מספקות את תוכנות הכופר שכתבו היוצרים.
השותפים בתוכניות השותפים הם ברמה הנמוכה ביותר בפירמידה. באמצעות טכניקות שונות הם מסייעים לבעלי תוכניות השותפים להפיץ את הקוד הזדוני בתמורה לנתח מהכופר. כל מה שנדרש מהחברים בתוכניות השותפים כדי להיכנס לעסקי העולם התחתון הוא מוכנות לבצע פעילות בלתי חוקית וכמה מטבעות ביטקוין. על פי הערכות של מעבדת קספרסקי, סך ההכנסות היומיות מתוכניות שותפים יכול להגיע לעשרות ואף מאות אלפי דולרים, שמתוכם כ- 60% נותרים בכיסי העבריינים כרווח נקי.
יותר מכך, במהלך המחקר שלהם, חוקרי מעבדת קספרסקי הצליחו לזהות מספר קבוצות עבריינים גדולות של דוברי רוסית המתמחים בפיתוח והפצה של תוכנות כופר. קבוצות אלו יכולות לאחד תחתן עשרות חברים שונים, שלכל אחד תוכנית שותפים משלו. רשימת המטרות של הקבוצות הגדולות האלה כוללת לא רק משתמשי אינטרנט רגילים, אלא גם חברות בגודל קטן ובינוני ואף ארגונים גדולים. במקור, קבוצות אלו התמקדו במשתמשים וגופים ברוסיה ובחבר המדינות, וכעת הן מעבירות את המיקוד שלהם אל חברות הממוקמות באזורים אחרים בעולם.
"קשה לומר מדוע משפחות רבות כל כך של תוכנות כופר מגיעות ממקור רוסי, אבל מה שחשוב יותר זה שאנו צופים כעת בהפיכתן של קבוצות קטנות עם יכולות מוגבלות לארגוני פשיעה גדולים שיש להם את המשאבים ואת הרצון לתקוף מטרות מעבר לרוסיה עצמה. ראינו משהו דומה בקבוצות של קוד זדוני פיננסי, כגון Lurk. גם שם החלו עם התקפות מאסיביות על משתמשים של מגזר הבנקאות, כשבהמשך הם התפתחו לקבוצות מתוחכמות המסוגלות לשדוד ארגונים גדולים, כמו בנקים. סון צו אמר: אם אתה מכיר את האויב שלך ומכיר את עצמך, אתה לא צריך לפחד מהתוצאה של מאה קרבות. זו הסיבה שיצרנו את הסקירה הזאת: כנופיות תוכנות כופר הופכות לאויבים עוצמתיים מאוד, ועבור הציבור וקהילת האבטחה, חשוב מאוד ללמוד עליהן ככל הניתן", אמר אנטון איבנוב, חוקר אבטחה במעבדת קספרסקי, ומחבר הסקירה.
מידע נוסף על העולם התחתון דובר הרוסית לתוכנות כופר וכיצד הוא פועל ניתן לקרוא ב-Securelist
