Cyberprzestępcy używający ransomware (oprogramowania do wymuszania okupu) paradoksalnie troszczą się o wygodę ofiary. Tak wynika z niedawnego eksperymentu opisanego w raporcie firmy F-Secure, który przedstawia doświadczenia ofiar pięciu wariantów ataków typu ransomware. Badanie pokazuje drogę klienta do odzyskania plików począwszy od zetknięcia się z pierwszym ekranem z żądaniem okupu, aż po interakcję z cyberprzestępcami.
– O atakach typu ransomware czytamy codziennie, a ostatnio do określenia ich proporcji coraz częściej używa się słowa „epidemia”. Chcieliśmy zaproponować inne spojrzenie na ten problem masowej przestępczości, a w istocie skorzystać z okazji, by przypomnieć użytkownikom indywidualnym i firmom, co mogą robić, by zabezpieczyć się przed tym zagrożeniem. Aktualizować oprogramowanie, korzystać z dobrych zabezpieczeń, uważać na to, co przychodzi e-mailem, a przede wszystkim, jeśli wszystko inne by zawiodło, regularnie tworzyć kopie zapasowe, jeszcze zanim padnie się ofiarą przestępstwa – mówi Sean Sullivan, doradca ds. zabezpieczeń z F-Secure.
Kliknij na poniższy obrazek aby obejrzec cały komiks:
Wybrane wnioski z raportu
- Grupy, które mają najbardziej profesjonalny interfejs, niekoniecznie mają najlepszy kontakt z ofiarą.
- Gangi korzystające z oprogramowania ransomware są zazwyczaj skłonne negocjować kwotę okupu. W trzech na cztery warianty umożliwiały one negocjacje, których efektem była średnia zniżka okupu o 29%.
- Terminy na przekazanie okupu nie muszą być sztywne. 100% badanych grup zgodziło się na opóźnienie terminu zapłaty.
- Jedna z grup twierdziła, że została wynajęta przez korporację do przeprowadzenia ataku na jej konkurencję. Rodzi się pytanie czy był to żart, czy jednak nowe realne zagrożenie?
W raporcie zwrócono uwagę na paradoks działań z wykorzystaniem oprogramowania szyfrującego. Badanie opisuje zachowania przestępców, którzy dorabiają się kosztem krzywdzonych przez siebie ludzi i firm. Jednocześnie jednak — jak w każdym szanującym się przedsięwzięciu — zależy im na dobrej obsłudze klienta, dbają więc o zapewnienie odpowiednich kanałów obsługi i niezawodne odszyfrowanie plików po uiszczeniu płatności.
Jak w legalu
Grupy cyberprzestępcze często funkcjonują w sposób podobny do legalnie działających firm: mają np. własne witryny, pomocne działy FAQ, „okresy próbne” na deszyfrację plików, a nawet kanały obsługi klienta z konsultantami, z którymi można dojść do porozumienia.
