A Check Point Software Technologies Ltd. a világ egyik legnagyobb aktív zsaroló programjával (ransomware-as-a-service), a Cerberrel kapcsolatos, új kutatási eredményeket mutatott be. A jelentés elsőként nyújt betekintést a komplex cyber kampány színfalai mögé, és nem csupán felhívja a figyelmet az egyre növekvő ransomware-as-a-service iparágra, hanem megmutatja azon módszert, mellyel a kutatók segítséget nyújtanak a magánszemélyeknek és az üzleti szférának a titkosított file-jaikhoz való hozzáférésben, anélkül, hogy fizetniük kellene a cyber bűnözők egyre növekvő zsarolásaiért.

 

A Check Point fenyegetésekkel kapcsolatos információszerzésre és kutatásokra specializálódott csapata, az IntSights Cyber Intelligence-szel mint kutatópartnerrel együttműködésben állította össze azt a 60 oldalas dokumentumot, mely új részleteket és elemzést ad a Cerber technikai és üzleti működése kapcsán:

• A Cerber jóval nagyobb arányban fertőz és jelentősebb profitot termel, mint a többi zsaroló program. Jelenleg több, mint 160 aktív kampányt futtat világszerte, melyből az éves bevétel előreláthatólag mintegy 2,3 millió amerikai dollár lesz. Minden egyes nap átlagosan nyolc új kampány indul; csak júliusban a kutatás körülbelül 150.000 fertőzött áldozatot talált 201 különböző országban és területen.
• A Cerber jutalékos alapon működő rendszerének tagjai sikeres pénzmosókká váltak. A Cerber úgy nevezett Bitcoin valutát használ a nyomon követés elkerülése végett, és egyedi pénztárcát hoz létre, ahova az áldozataitól beérkezik a váltságdíj. A zsarolásra való reakciót és fizetést (általában egy Bitcoin, ami jelenleg 590 amerikai dollárt ér) követően az áldozat megkapja a dekódoló kulcsot. A Bitcoint a rosszindulatú program fejlesztője egy erre kialakított szolgáltatáson keresztül kapja meg, amely több tízezernyi Bitcoin pénztárcát tartalmaz, így majdhogynem lehetetlen egyenként nyomon követni őket. A folyamat végén a fejlesztő megkapja a pénzt, a szolgáltatás pedig a jutalékát.
• A Cerber kitárja az ajtót a jövő hackerei számára. A Cerber lehetőséget ad technikai háttérrel nem rendelkező személyeknek és csoportoknak, hogy részesedjenek a jelentős profitot termelő üzletből, és független kampányokat futtassanak az erre a célra kialakított vezérlőszerverek, valamint egy könnyen kezelhető, 12 nyelven elérhető webes felület használatával.

 

A Check Point és az IntSight 2016 júniusa óta dolgozik a Cerber által fejlesztett komplex rendszer és a globális disztribúciós infrastruktúra átfogó térképén. A kutatóknak sikerült újragenerálniuk korábban valóban létező pénztárcákat, így a csapat meg tudta figyelni a tranzakciókat, lehetővé téve mind a rosszindulatú programok bevételeinek, mind magának a pénzmozgásnak a nyomon követését. Mi több, ezen információk adták az alapját egy dekódoló kulcs létrehozásának, mellyel helyrehozhatóak a fertőzött rendszerek a cyber bűnőzök követeléseinek teljesítése nélkül.

 

 

„Ezen kutatás ritka lehetőséget adott a növekvő zsaroló iparág természetének és globális célpontjainak vizsgálatára,” mondta Maya Horowitz, a Check Point kutatásért és fejlesztésért felelős csoportvezetője. „A cyber támadások világa többé már nem a nemzetállami szinten működő szereplők és a saját eszközeiket létrehozni képes, műszaki szaktudással bírók felségterülete; napjainkban bárki elérheti ezen eszközöket és könnyedén működtetheti őket. Ennek eredményeként, rendkívüli mértékben nő ez az iparág: mindannyiunknak meg kellene tennie a szükséges óvintézkedéseket, és telepíteni a megfelelő védelmi rendszereket.”

 

A kutatás további eredményei, a teljes ‘CerberRing: An In-Depth Exposé on Cerber Ransomware-as-a-Service’ anyag megtekinthető: http://www.checkpoint.com/resources/cerberring/. 

A Cerber-alapú, rosszindulatú programmal fertőzött file-okhoz a dekódoló kulcs is elérhető: http://cerberdecrypt.com.

A Check Point fenyegetésekkel kapcsolatos információszerzésre és kutatásokra specializálódott csapata rendszeresen nyomoz támadásokkal, sérülékenységekkel és adatszivárgásokkal kapcsolatban, illetve fejleszt védelmi megoldásokat a Check Point ügyfeleinek védelme érdekében. A Check Point további kutatási eredményeivel kapcsolatos információkat ezen a linken talál: http://www.checkpoint.com/threatcloud-central/.