I Srbija na meti novog Kraken 2.0 ransomwarea

Unapređeni ransomware se distribuira preko RaaS modela!

I Srbija na meti novog Kraken 2.0 ransomwarea

Nova verzija zloglasnog ransomwarea je dostupna i može se kupiti na dark webu. Autori su promenili način distribucije i sada nude Kraken preko RaaS modela. RaaS ili ransomware kao usluga je platforma preko koje (i manje vešti) sajber kriminalci mogu da plasiraju ransomware na vrlo jednostavan način. Za samo 50 dolara, kupci ovog servisa postaju deo partnerskog programa i dobijaju nove, poboljšane verzije Krakena svakih 15 dana. Autori, pored fiksnih 50 dolara, dobijaju 20% od svake otkupnine koje žrtve plate, a svojim korisnicima nude uslugu podrške 24/7.

Sajber kriminalci koji stoje iza Kraken ransomwarea su se udružili sa Fallout grupom i na taj način dobili dodatni metod isporuke malvera svojim klijentima.

Kraken Cryptor je RaaS (ransomware-as-a-service) partnerski program koji se prvi put pojavio sredinom avgusta na jednom od najpoznatijih sajber kriminalnih foruma sa ruskog govornog područja. Objavio ga je korisnik ThisWasKraken koji je najverovatnije i autor ovog malvera (ili jedan od autora). Krajem septembra, primećeno je da je Fallout Exploit kit počeo da distribuira Kraken ransomware. Fallout je korišćen i za distribuciju GandCrab ransomwarea.

RaaS model funkcioniše na sledeći način: Nakon što žrtva plati pun iznos otkupnine, partner programa (sajber kriminalac koji je kupio RaaS uslugu) šalje 20% iznosa autoru malvera kako bi dobio ključeve za dekripciju koji se zatim šalju žrtvi. Žrtve plaćaju otkupninu isključivo Bitcoinima, a iznosi se kreću od 0.075 do 1.25 BTC.

Treba napomenuti da ne može svako da postane deo partnerskog programa Kraken RaaS modela. Onaj ko hoće da kupi ovaj servis mora da ispuni određene uslove. Kandidati mogu biti odbijeni bez objašnjenja, zabranjeno im je da šalju uzorke malvera antivirus servisima, a nema ni povraćaja novca ukoliko nisu zadovoljni kupljenim servisom.

Interesantno je da Kraken ransomware ne dozvoljava targetiranje nekih zemalja iz bivšeg SSSR-a (Jermenije, Rusije, Belorusije, Gruzije, Litvanije, Letonije, Ukrajine itd.). Takođe, van dometa su Iran, Brazil i Sirija.

Na slici ispod je mapa koja pokazuje distribuciju Kraken ransomwarea. Mapu su objavili autori Krakena, a na njoj možemo videti i našu zemlju.

Distribucija-ransomwarea

Slika 1. Distribucija Kraken ransomwarea po zemljama. Izvor: Security Affairs

Kraken ransomware je od avgusta inficirao najmanje 620 žrtava širom sveta. Međutim, prva ozbiljna kampanja je započela u septembru, kada su napadači maskirali malver kao bezbednosno rešenje na sajtu SuperAntiSpyware. Najveći broj žrtava se nalazi u Pakistanu, Bangladešu, Koreji, Rumuniji i SAD-u, a na listi je i Srbija.

Ransomware trendovi

Sajber kriminalci koji se bave ransomwareom demonstriraju visok nivo agilnosti u razvojnom ciklusu – jako brzo ispravljaju propuste koje primeti bezbednosna industrija. Nekada se bar 7 dana čekalo na popravke, a sada to rade u roku od jednog dana ili čak nekoliko sati. Zbog toga je danas važnije nego ikad da organizacije redovno ažuriraju svoja AV rešenja i softver, vrše redovan backup i da njihovi zaposleni ne otvaraju linkove ili atačmente od nepoznatih pošiljaoca.

Kada se Kraken pojavio, nije imao izgrađen biznis model, ali relativno brzo je pronašao dobitnu formulu udružujući se sa drugim, uspešnim sajber kriminalnim servisima. Udruživanje je novi trend u sajber kriminalnom miljeu.

Iako je broj ransomware familija u padu, servisi kao što je RaaS i partnerski programi su sve popularniji kod velikih igrača poput GandCrab, Scarab i Obama ransomwarea. Nudeći ovakav servis, sajber kriminal postaje dostupan širokim masama (i manje veštim kriminalcima), a autori imaju sigurne prihode po dva osnova. Saradnjom sa proverenim igračima, svojim kupcima otvaraju mogućnost da na još lakši način zarade od ransomwarea. Istovremeno, rizik za partnere u programu opada jer više ne moraju sami da se udružuju.

Izvor: Threat Post i Security Affairs