Sophos vydal novou studii nazvanou „Ransomware typu „junk gun“: I střela z foukačky může zabolet“, která přináší poznatky o nové ransomwarové hrozbě. Od června 2023 objevil tým Sophos X-Ops na dark webu 19 variant tzv. „junk gun“ ransomwaru. Jde o levné, nezávisle vytvořené a hrubě zkonstruované varianty ransomwaru. Vývojáři těchto variant jednoduchého ransomwaru se snaží narušit tradiční partnerský systém typu ransomware jako služba (RaaS), tedy model, který dominoval ransomwarovému vydírání téměř deset let. Namísto prodeje nebo nákupu ransomwaru formou služby útočníci vytvářejí a prodávají nesofistikované varianty ransomwaru za jednorázovou cenu – což jiní útočníci někdy považují za příležitost zaměřit se na malé a středně velké podniky (SMB) a dokonce i na jednotlivce.
„V posledním roce nebo dvou dosáhl ransomware jistého druhu homeostázy. Stále je to jedna z nejrozšířenějších a nejvážnějších hrozeb pro podniky, ale naše nejnovější studie o aktivních útočnících zjistila, že se počet útoků stabilizoval a hlavním operačním modelem zůstalo pro většinu velkých ransomwarových skupin vydírání prostřednictvím RaaS. V posledních dvou měsících ale někteří z největších hráčů v ransomwarovém ekosystému zmizeli nebo ukončili činnost. V minulosti jsme byli také svědky, jak jednotlivé ransomwarové skupiny vyjadřovaly nesouhlas se systémem sdílení zisku z RaaS. Nic ve světě kybernetického zločinu nezůstává navždy neměnné a tyto levné verze ransomwaru mohou být další evolucí v rámci ransomwarového ekosystému – zejména pro méně kvalifikované kybernetické útočníky, kteří si chtějí spíše vydělat než udělat jméno,“ řekl Christopher Budd, ředitel výzkumu hrozeb ve společnosti Sophos.
Jak studie společnosti Sophos uvádí, průměrná cena těchto „junk gun“ variant ransomwaru byla na dark webu 375 dolarů, což je výrazně méně než u některých sad v rámci RaaS, které mohou stát i více než 1 000 dolarů. Studie uvádí, že kyberzločinci nasadili při útocích čtyři z těchto variant. I když se schopnosti ransomwaru typu „junk gun“ značně liší, jeho největší předností je, že nevyžaduje žádnou nebo jen malou podpůrnou infrastrukturu a uživatelé nejsou povinni dělit se o své zisky s jeho tvůrci.
Diskuse o „junk gun“ ransomwaru probíhají především na anglicky mluvících fórech dark webu zaměřených na zločince nižší úrovně, nikoli na zavedených ruskojazyčných fórech navštěvovaných prominentními skupinami útočníků. Tyto nové varianty představují pro začínající kyberzločince atraktivní způsob, jak ve světě ransomwaru začít, a vedle reklam na tyto levné varianty ransomwaru se objevují i četné příspěvky s žádostmi o rady a návody, jak je použít.
„Tyto typy ransomwaru nedosahují milionových částek výkupného jako například Clop a LockBit, ale mohou být skutečně účinné proti malým a středně velkým podnikům. A to mnoha útočníkům na začátku jejich „kariéry“ stačí. Fenomén ransomwaru typu junk gun je sice stále relativně nový, ale už jsme viděli příspěvky od jeho tvůrců, kteří hovoří o svých ambicích rozšířit svou činnost, a zaznamenali jsme i několik příspěvků od dalších uživatelů, kteří plánují vytváření vlastních variant ransomwaru. Tato nová ransomwarová hrozba představuje pro obránce jedinečnou výzvu. Vzhledem k tomu, že útočníci používají tyto varianty proti malým a středně velkým podnikům a požadavky na výkupné jsou nízké, je pravděpodobné, že většina útoků zůstane neodhalena a nenahlášena. Obráncům tak vzniká zpravodajská mezera, kterou bude muset zaplnit bezpečnostní komunita,“ řekl Budd.
