Ransomware-banderne er ofte ret målrettede, når de iværksætter deres forsøg på at inficere forskellige organisationer med ransomware i deres forsøg på at hæve dusører fra ofrene.
Sådan det lyder det fra it-sikkerhedselskabet Kela, der har udarbejdet en liste over de kriterier, som de store ransomware-grupper udvælger deres angrebsmål efter.
Listen viser først og fremmest, at de store ransomware-grupper har blikket stift rettet mod fire geografiske områder, når de skal vælge deres mål.
Ransomware-målene findes nemlig primært i USA, Europa, Canada og Australien.
Det klart mest efterspurgte område er USA.
Det formodes, at det dels skyldes, at virksomhederne i disse områder ofte har godt med penge og dels, at de er så langt fremme i digital udvikling, at deres drift er afhængig af deres digitale setup.
Ifølge Kela går ransomware-grupperne desuden som udgangspunkt efter selskaber med høj indtjening.
Grupperne søger typisk amerikanske mål med en omsætning på mere end fem millioner dollar, europæiske virksomheder med en omsætning på mere end 20 millioner dollar og virksomheder i tredjeverdens lande med en omsætning på mere end 40 millioner dollar.
Outsourcer de indledende manøvrer
Ifølge BleepingComputer har de store ransomware-grupper ofte outsourcet arbejdet med at udsøge de saftigste bytter.
Denne opgave løses istedet af de såkaldte IAB’er - Initial Access Brokers - som står for det indledende arbejde med at skaffe adgang til de største lunser.
Det er altså IAB’erne, der står for at udsendt phishing-kampagner, udnytte exploits og lignende, hvorefter de sælger oplysningerne til de ‘rigtige’ ransomware-grupper.
Ifølge Kela betaler ransomware-grupperne typisk mellem 3.000 dollar og helt op til 100.000 dollar til IAB’erne for adgang til et stort bytte.
Ifølge Kela vil ransomware-grupperne typisk bevidst undgå at ramme en række organisationer, som de ved spiller særlige roller i samfundets opretholdelse.
Sikkerheds-virksomheden bemærker således, at næsten halvdelen af ransomware-grupperne typisk ikke er interesseret i af IAB’erne at købe adgang, som kan udnyttes, til sygehuse og uddannelses-sektoren.
En tredjedel af dem vil desuden ikke købe adgang til statslige organisationer, mens en fjerdedel ikke er interesseret i at hacke non-profit organisationer.
Kela peger på, at det skyldes, at hackerne dels har en moralkodeks og dels ikke er interesseret i at angribe mål, som de ved ikke har mange penge.
Blacklistede lande
Interessant nok fastslår sikkerheds-selskabet med baggrund i sine undersøgelser også, at ransomware-hackerne typisk har fredet mål i en række lande.
Det drejer sig om de såkaldte CIS-lande - Commonwealth of Independent States, som er de tidligere østblok-lande - som de vurderer vil lade dem være i fred, hvis de undlader at angribe mål i de pågældende lande.
Disse lande er blandt andet Rusland, Ukraine, Moldavien, Hviderusland, Kirgisistan, Kazakhstan, Armenien, Uzkbekistan og Turkmenistan.