Zsarolóvírus infrastruktúra felmérése
A Threat Intelligence Platform kutatói szerint a zsarolóvírus-kezelők évente százmilliókat kereshetnek, de a bevételük jelentős része (~75%-a) a zsarolóvírust felhasználó úgynevezett leányvállalataihoz kerül. Dancho Danchev három olyan e-mail címet azonosított, amelyek zsarolóvírus leányvállalatokhoz tartoztak, valamint 21 domaint, amelyek szerepeltek kampányaikban. Ezeket a mutatókat (IoC) használva a kutatók mást is azonosíthattak, konkrétan 90 domaint regisztráltak az IoC-ként azonosított e-mail címekkel, amelyek közül három rosszindulatúnak bizonyult. 20+ IP-címet, amelyre az e-mailekhez kapcsolódó és más, IoC-ként azonosított tartományok feloldottak, amelyek közül hatot rosszindulatú programforrásként azonosítottak. Több mint 3900 domain, amely megosztotta az IoC-k IP-állomásait, amelyek közül 38 már szerepelt a rosszindulatú programokban és a spamkampányokban.
A ransomware-hez kapcsolódó leányvállalatok hatalmas pénzügyi haszonra tehetnek szert, sokan közülük más kiberbűnözői tevékenységekben is részt vehetnek, különösen adathalászatban. IoC-bővítési elemzésünk kimutatta, hogy a 4006 összekapcsolt tartományból és IP-címből álló infrastruktúrájuk egyes részei többet tehetnek, mint zsarolóvírus-terjesztés.