Pedig egyre gyakoribb. Az utóbbi 1-2 évben két esetben is futottam bele hasonlóba, és mindkettő hazai kkv volt. Úgy tűnik, hogy mint minden másra erre is elkezdtek ügyes üzletet építeni, szóval érdemes hozászokni a gondolathoz.
Az első fázis ugyanaz mint amit eddig megszoktunk, automatizált botnet, keresi a lehetőséget, vagy várja, hogy bejelentkezzen egy fertőzött gép. Ez lehet tényleg bármi, e-mail csatolmány megnyitása, sérülékenységgel üzemelő webszervert megtalálja a botnet, a lényeg, hogy még nem célzott támadás. Ezután van valamilyen automatizmus, ami különféle szempontok alapján X hatékonysággal eldönti, hogy a távoli rendszer milyen méretű lehet (Mancika laptopja, otthoni cuccai, vagy komplett gyár). Ha kapás van, akkor valamilyen betanított munkás jellegű level 1 human elé kerül a dolog, aki már manuálisan is körbenéz, és ha ő is úgy ítéli meg, hogy megéri, akkor jön pár hozzáértő(bb), és elkezdik szépen a folyamatot, encryptelnek, backupot keresnek és rombolnak (ha tudnak), stb... Az általam látott mindkét támadásnál a Ryuk tool/csapat volt az elkövető (5-6 hónap eltérés volt a kettő között). Bár a csapat nem teljesen biztos, olvastam hogy "lincelték" a toolt már másoknak is, illetve több néven fut, de az üzleti modell ugyanaz. Magát a Ryukot már az utolsó ember telepítette, illetve szabadította el. Az folyamatot nagyjából végig lehetett követni utólag, kezdve a botnettől a human megjelenéséig (persze csak következtetések alapján, amik logokból és egyéb eseményekből, és nyomokból jöttek, de alapvetően elég egyértelműek voltak).
Egyébként alapvetően rohadt bénák voltak, pl. az egyik helyen egy szerveren a shell history úgy nézett ki, mint amit én produkálnék 6-8 feles elfogyasztása után, illetve több bénázás is volt (pl. már rég domain admin volt az illető, de még mindig küzdött mint malac a jégen mindenfélével amik arra utaltak, hogy domain admin szeretne lenni). De hát nincs is ennél többre szükség, az ilyen rendszereken az 1 bites indiai bérmunkások is úgy mennek keresztül mint kés a vajon, lásd a jelen esetet is. Meg nincs is igazán tétje náluk a dolognak. Gondolom ezek ülnek valami hatalmas akolban éhbérért, és 16 órában ezt csinálják. Ha valamit elbasznak, vagy nem jön be, ugranak a következő ticketre, amiben megint lesz egy ilyen "ápolandó", remekül karbantartott és megtervezett rendszer.
A Ryuknál amúgy alsó hangon 700k-1m USD a váltságdíj (ha jól rémlik), és vélhetően jól megy a biznisz, sőt, gondolom nem egy ilyen "vállalkozás" működik már, illetve ők sem ezen a néven nyomulnak szerintem jelenleg. Ja jut eszembe, ami még vicces volt: TOR-on elérhető névre szóló ügyfélportált is adtak, saját loginnal és jelszóval mindkét esetben, illetve ugyanitt volt "demo" decrypter, ami 1db filet tudott decryptálni online (gondolom ezt bizonyítéknak szánták). Valamint itt lehetett elérni a supportot, illetve a BTC-s fizetést is itt lehetett volna intézni :D Amúgy abból is gondolom, hogy ezek nagyon egységsugarú bérmunkások (még a döntéshozók is), hogy nagyon benézték a dolgot. Bár mindkét szervezetnél sok eszköz volt (szerverek, storage-ok, stb..), egyik sem tudta ezt az összeget kifizetni, ezt pedig egy jól irányzott google kereséssel azért ki lehetett volna deríteni könnyen.
Ettől még persze lehet, hogy jelen esetben nem célzott volt a dolog (már ha a fenti jelenséget lehet célzottnak nevezni, a szó klasszikus értelmében), hanem az történt amit te is írtál.