Idag har ransomware-grupperna utvecklats från att vara en nisch av amatörer till en serie komplexa cyberbrottskarteller med kompetens, verktyg och budgetar motsvarande statligt sponsrade hackgrupper.
Numera förlitar sig ransomware-gäng ofta på partnerskap med andra angripare, s.k. ”initial access brokers”. Dessa fungerar såsom underhållskedjan för den kriminella och ger ransomware-gäng (och andra) tillgång till stora samlingar av komprometterade system.
”Initial access brokers” är de som initialt tar sig in i offrets nätverk med hjälp av phishing och/eller malware.
När väl en enhet har blivit infekterad är det numera vanligt att tillgången till enheten säljs på ”Dark Net”.
Lika vanligt är numera att dessa ”Initial access brokers” samarbetar med andra grupper, t.ex. grupper som sprider ransomware, och att dessa två grupper delar på lösensumman. Vad som verkar vara en ”vanlig” fördelning är att 15% av lösensumman går till ”Initial access broker”.
Samarbetet kan vara mer eller mindre affärsmässigt (det skrivs nog inga avtal mellan de olika grupperingarna) men klart är att angriparna specialiserar sig allt mer och att de använder sig av varandras kunskaper och tillgångar (läs infekterade nätverk).
En artikel som beskriver de olika relationerna hittar Du på ZDNET’s artikel här