Πίσω από τα λύτρα: Πώς λειτουργεί το Ransomware-as-a-Service και η άνοδος των επιθέσεων κατά 44%

Σύνοψη

• Το ransomware δεν αποτελεί μια μεμονωμένη επίθεση, αλλά ένα οργανωμένο επιχειρηματικό μοντέλο με διακριτούς ρόλους, όπως προγραμματιστές, affiliates και διαπραγματευτές.
• Τα δεδομένα της ESET καταγράφουν αύξηση των επιθέσεων ransomware κατά 13% το δεύτερο εξάμηνο του 2025, σε συνέχεια μιας ανόδου 30% το πρώτο εξάμηνο.
• Σύμφωνα με την έκθεση DBIR της Verizon για το 2025, η μέση πληρωμή λύτρων μειώθηκε από 150.000 δολάρια σε 115.000 δολάρια, με τις επιθέσεις να στοχεύουν πλέον περισσότερο σε μικρότερες εταιρείες.
• Οι ερευνητές της ESET εντόπισαν σχεδόν 90 ενεργά εργαλεία "EDR killers", με 54 από αυτά να αξιοποιούν την τεχνική BYOVD (Bring Your Own Vulnerable Driver).
• Η τεχνητή νοημοσύνη χρησιμοποιείται πλέον για τη μαζική δημιουργία κακόβουλου λογισμικού ("vibeware"), καθιστώντας την οικονομία του κυβερνοεγκλήματος πιο προσιτή.

Η εμφάνιση ενός μηνύματος στην οθόνη που απαιτεί την καταβολή λύτρων δεν αποτελεί την αρχή μιας κυβερνοεπίθεσης. Το μήνυμα για τα λύτρα είναι μόνο η αρχή της συνειδητοποίησης του προβλήματος από το θύμα, ενώ ουσιαστικά πίσω του κρύβεται κάτι πολύ μεγαλύτερο και πιο σύνθετο. Η επίθεση είναι απλώς η κορυφή του παγόβουνου μιας εκτενούς, οργανωμένης επιχείρησης.

Η περίπτωση της Change Healthcare στις ΗΠΑ αποτυπώνει ιδανικά αυτή την πραγματικότητα. Το Μάρτιο του 2024, μια ομάδα συνεργατών της συμμορίας BlackCat πραγματοποίησε μια από τις μεγαλύτερες παραβιάσεις δεδομένων στον τομέα της υγείας, ωστόσο ανέφερε σε φόρουμ κυβερνοεγκλήματος ότι δεν έλαβε ποτέ το μερίδιο που της αναλογούσε από τα 22 εκατομμύρια δολάρια των λύτρων. Οι διαχειριστές της BlackCat φέρονται να κράτησαν τα χρήματα, αναρτώντας μάλιστα μια πλαστή ειδοποίηση του FBI στην ιστοσελίδα τους για να καλύψουν τα ίχνη τους. Η υπόθεση αυτή επιβεβαιώνει ότι το ransomware δεν αποτελεί δράση ενός μεμονωμένου hacker, αλλά ένα δομημένο επιχειρηματικό μοντέλο.

Το μοντέλο Ransomware-as-a-Service (RaaS)

Ο κλάδος έχει διαμορφωθεί με τη λογική του franchise, όπου διαφορετικές ομάδες αναλαμβάνουν εξειδικευμένους ρόλους. Κάποιοι δράστες λειτουργούν ως μεσάζοντες, αποκτώντας αρχική πρόσβαση στα δίκτυα και πουλώντας την, χωρίς να γνωρίζουν απαραίτητα τις προθέσεις του αγοραστή. Άλλοι προγραμματίζουν και συντηρούν τα εργαλεία ransomware, χωρίς να έρχονται ποτέ σε άμεση επαφή με το τελικό θύμα. Οι συνεργάτες (affiliates) αγοράζουν πρόσβαση καταβάλλοντας ποσοστά για να εκτελέσουν τις επιθέσεις, ενώ άλλοι εξειδικεύονται στις διαπραγματεύσεις ή στη νομιμοποίηση των εσόδων.

Οι επιχειρήσεις αυτές έχουν σχεδιαστεί με γνώμονα την επεκτασιμότητα, χωρίς να απαιτείται από τον κάθε affiliate να διαθέτει κορυφαίες τεχνικές γνώσεις. Ο εσωτερικός μηχανισμός λειτουργίας του RaaS είναι συχνά πιο περίπλοκος από μια τυπική αλυσίδα καταστημάτων, με χαλαρό συντονισμό και πραγματικές, ορισμένες φορές δημόσιες, διαμάχες. Παρά τις παρεμβάσεις των αρχών επιβολής του νόμου, η αγορά επιβιώνει. Όταν το 2024 εξαρθρώθηκαν οι LockBit και BlackCat, οι συνεργάτες τους μεταφέρθηκαν στο RansomHub. Το 2025, μια μικρότερη ομάδα, η DragonForce, κατέστρεψε την πλατφόρμα του RansomHub, επιτρέποντας στις ομάδες Akira και Qilin να απορροφήσουν το μερίδιο αγοράς.

Αλλαγή στόχων και αύξηση όγκου το 2025

Η οργάνωση του κλάδου οδηγεί νομοτελειακά σε μαζική εξάπλωση των επιθέσεων. Σύμφωνα με τα στοιχεία της ESET, το δεύτερο εξάμηνο του 2025 καταγράφηκε αύξηση των επιθέσεων ransomware κατά 13%, η οποία ακολούθησε μια ισχυρή άνοδο 30% το πρώτο εξάμηνο του ίδιου έτους.

Η στρατηγική των εγκληματιών δείχνει να μεταβάλλεται. Η έκθεση Data Breach Investigations Report (DBIR) της Verizon για το 2025 έδειξε ότι το ποσοστό των παραβιάσεων που συνδέονται με ransomware αυξήθηκε από 32% σε 44%, ωστόσο ο μέσος όρος των λύτρων που καταβλήθηκαν μειώθηκε από 150.000 σε 115.000 δολάρια. Μια ανάλυση της Mandiant επιβεβαιώνει τη στροφή των κυβερνοεγκληματιών προς μικρότερες εταιρείες, οι οποίες διαθέτουν λιγότερο ώριμες υποδομές άμυνας. Η στόχευση περισσότερων, αλλά ευκολότερων θυμάτων με μικρότερα περιθώρια κέρδους συνιστά μια κλασική τακτική αύξησης του συνολικού όγκου εργασιών.

Η δυναμική της "Κόκκινης Βασίλισσας" και τα EDR Killers

Η μέθοδος των επιθέσεων δεν μένει στάσιμη. Οι αρχές όπως το FBI και η CISA περιγράφουν πλέον το ransomware ως ένα πρόβλημα κλοπής δεδομένων και εκβιασμού (διπλή επίθεση), όπου τα δεδομένα πρώτα κλέβονται και έπειτα κρυπτογραφούνται.

Στο πεδίο της μάχης μεταξύ άμυνας και επίθεσης επικρατεί το «φαινόμενο της Κόκκινης Βασίλισσας» (μια αναφορά στη βιολογία και στο έργο του Λιούις Κάρολ), όπου και οι δύο πλευρές εξελίσσονται διαρκώς μόνο και μόνο για να διατηρήσουν τις τρέχουσες θέσεις τους. Καθώς οι επιχειρήσεις υιοθετούν προηγμένα συστήματα EDR (Endpoint Detection and Response) και XDR, οι επιτιθέμενοι αναπτύσσουν αντίστοιχα "EDR killers" για να τα απενεργοποιήσουν.

Οι ερευνητές της ESET εντόπισαν σχεδόν 90 τέτοια κακόβουλα εργαλεία σε ενεργή χρήση. Πενήντα τέσσερα από αυτά βασίζονται στην τεχνική "Bring Your Own Vulnerable Driver" (BYOVD). Μέσω αυτής της μεθόδου, φορτώνεται ένας νόμιμος αλλά ευάλωτος driver στο σύστημα για την απόκτηση δικαιωμάτων επιπέδου πυρήνα, επιτρέποντας την απενεργοποίηση της προστασίας. Αυτοί οι drivers χρησιμοποιούνται ως εμπορεύματα στην underground αγορά, συνοδευόμενοι από συνδρομητικές υπηρεσίες συσκότισης κώδικα.

Η επίδραση της Τεχνητής Νοημοσύνης

Η χρήση τεχνητής νοημοσύνης επιταχύνει αυτή την «κούρσα». Εκτιμήσεις των ερευνητών της ESET δείχνουν ότι η τεχνητή νοημοσύνη έχει ήδη βοηθήσει στην ανάπτυξη EDR killers, με τη συμμορία Warlock να αποτελεί πρόσφατο παράδειγμα. Παράλληλα, καταγράφεται το φαινόμενο του "vibeware", όπου η τεχνητή νοημοσύνη χρησιμοποιείται για τη μαζική παραγωγή κακόβουλου λογισμικού που βομβαρδίζει το σύστημα με κώδικα μιας χρήσης, ελπίζοντας ότι μια παραλλαγή θα περάσει απαρατήρητη. Πλέον, ο βασικός περιορισμός για έναν επίδοξο εγκληματία δεν είναι η εξειδίκευση, αλλά η πρόθεση.

*Μπορείτε πλέον να προσθέσετε το Techgear.gr ως Προτιμώμενη Πηγή ενημέρωσης για τις αναζητήσεις σας στο Google Search!