2023 júniusa óta a Sophos X-Ops 19 „junk gun” zsarolóvírus-változatot fedezett fel a dark weben – olcsó, függetlenül előállított és durván felépített zsarolóprogram-variánsokat. E junk gun változatok fejlesztői megpróbálják megzavarni a tradicionális, affiliate-alapú (“partner”, “ügyfél”) szolgáltatásos formájú zsarolóvírus (“zsarolóvírus-as-a-service”, “RaaS”) modellt, amely közel egy évtizede uralja a zsarolóprogramok színterét.

Ahelyett, hogy ügyfeleknek adnának el vagy ügyfélként vásárolnának zsarolóvírust, ezek a bűnözők egyszeri költség ellenében kifinomulatlan zsarolóvírusokat készítenek és adnak el - amelyet más támadók néha lehetőségnek látnak kis- és középvállalkozások (kkv-k), illetve akár magánszemélyek megcélzására.

“Az elmúlt egy-két évben a zsarolóvírus egyfajta egyensúlyba került. Továbbra is ez az egyik legelterjedtebb és legsúlyosabb fenyegetés a vállalkozások számára, de a legutóbbi Active Adversary jelentésünk szerint a támadások száma stabilizálódott, és a RaaS módszer továbbra is legjobb működési modell a legtöbb jelentős zsarolóvírus-csoport számára.

Azonban az elmúlt két hónapban a zsarolóvírus ökoszisztéma néhány legnagyobb szereplője eltűnt vagy leállt, illetve korábban azt is láttuk, hogy a zsarolóvírus-ügyfelek szabadjára engedték haragjukat a RaaS nyereségmegosztási rendszere miatt. A kiberbűnözés világában semmi sem marad örökké statikus, és az előre legyártott zsarolóprogramok ezen olcsó verziói jelenthetik a zsarolóvírus ökoszisztéma következő evolúciós lépcsőjét - különösen az alacsony képzettségű kibertámadók számára, akik egyszerűen csak profitot, nem pedig nevet akarnak szerezni maguknak.” - mondta Christopher Budd, a Sophos fenyegetéskutatási igazgatója.

Amint a Sophos jelentése megjegyzi, e junk gun zsarolóvírus-változatok árának mediánja a dark weben 375 dollár volt, ami lényegesebb olcsóbb, mint a RaaS partnerek egyes készletei, melyek több mint 1000 dollárba is kerülhetnek. A jelentés arról számol be, hogy a kibertámadók e változatok közül négyet vetettek be támadások során.

Míg a junk gun zsarolóvírusok képességeiben nagy a szórás, a legvonzóbb értékesítést segítő tulajdonságuk az, hogy e zsarolóprogramok működtetéséhez kevés vagy semmi háttértámogatás szükséges, valamint a felhasználók nem kötelesek megosztani a nyereségüket a készítőkkel.

A junk gun zsarolóvírus-ekkel kapcsolatos diskurzusok elsősorban angol nyelvű dark web fórumokon zajlanak, amelyek az alacsonyabb rangú bűnözőket célozzák meg, nem pedig a jól megalapozott orosz nyelvű fórumokon, amelyeket prominens támadócsoportok látogatnak. Ezek az új variánsok vonzó módot kínálnak az újabb kiberbűnözők számára, hogy elinduljanak a zsarolóvírus-ek világában, és az olcsó zsarolóprogram-változatok hirdetései mellett számos bejegyzés található, amelyek tanácsokat és tutorialokat kérnek a kezdő lépésekhez.

“Az ilyen típusú zsarolóvírus-változatok nem fognak millió dolláros váltságdíjakat hozni, mint a Clop vagy a Lockbit, de valóban hatékonyak lehetnek a kis- és középvállalkozások ellen. Sok “karrierjét” kezdő támadónak ez elég. Habár a junk gun zsarolóvírusok jelensége még viszonylag új, már láttunk bejegyzéseket a készítőiktől a műveleteik skálázására irányuló ambícióikról, és több posztot is olvastunk már másoktól, amelyek saját zsarolóprogram-variánsaik létrehozásáról szóltak.”

„Aggasztóbb, hogy ez az új zsarolóvírus-fenyegetés egyedülálló kihívás elé állítja a védelmezőket. Mivel a támadók ezeket a variánsokat kis- és középvállalkozások ellen használják, és a váltságdíj igények kicsik, a legtöbb támadás valószínűleg észrevétlen marad és nem tesznek róla jelentést. Ez információs hiányosságot generál a védekezők számára, amelyet a biztonsági közösségnek kell betöltenie” - mondta Budd.

Ha többet szeretnél megtudni a junk gun zsarolóprogramokról és a zsarolóvírus ökoszisztéma legújabb változásairól, olvasd el a “’Junk Gun’ Zsarolóvírus: Peashooters Can Still Pack a Punch” című anyagot a Sophos.com oldalán!