Ransomware srdcem podzemní ekonomiky

Nežádoucí pozornost přilákaná ransomwarovými útoky způsobila, že několik významných fór kyberzločinu na svých platformách počátkem roku zakázalo diskuze a transakce související s ransomwarem.

Přestože někteří doufali, že by to mohlo mít významný dopad na schopnosti ransomwarových skupin, způsobil zákaz jen zatlačení jejich aktivit ještě hlouběji do podzemí, takže je pro bezpečnostní výzkumníky a společnosti tuto sféru mnohem složitější sledovat.

Je-li tedy možné zmínit nějaký rozdíl, pak v měsících následujících po zákazech na fórech byly útoky silnější a troufalejší než v minulosti. Pravda ovšem je, že ransomware je životní mízou ekonomiky kyberzločinu a bylo by nutné použít mimořádná opatření, aby to skončilo.

Skupiny koordinující útoky jsou vysoce profesionalizované a v mnoha ohledech se podobají moderním korporátním strukturám s vývojovými týmy, odděleními prodeje, vztahů s veřejností, externími dodavateli a poskytovateli služeb – ti všichni by byli odstřižení od nelegálních příjmů.

Tyto skupiny dokonce používají obchodní žargon při své komunikaci s oběťmi – mluví o nich jako o klientech, kteří si kupují jejich služby pro dešifrování dat.

„Popisuji to takto: existuje svět firem, který všichni známe. Zločinci mají paralelní svět, jenž je tak trochu vzhůru nohama. Je to ale velmi podobný svět, jen temnější a překroucený,“ uvádí Steve Ragan, bezpečnostní výzkumník společnosti Akamai.

Podzemní ekonomika

Při pohledu na to, co se děje při provozu ransomwaru, a na způsob organizace těchto skupin, je snadné vidět, že ransomware v současnosti představuje srdce ekonomiky kyberzločinu. Ransomwarové skupiny mimo jiné zaměstnávají lidi, kteří zajišťují:

• Psaní programů pro šifrování souborů (vývojový tým)
• Nastavení a údržbu webů pro platby, úniky a pro komunikační kanály (tým infrastruktury IT)
• Inzerci ransomwarové služby na fórech (prodejní tým)
• Komunikaci s novináři či příspěvky na Twitteru a oznámení na jejich blogu (tým pro vztahy s veřejností a pro sociální sítě)
• Vyjednání plateb výkupného (tým podpory zákazníků)
• Ruční prolamování a pohyb v sítích obětí s cílem nasadit ransomwarový program (externí dodavatelé známí jako spolupracovníci či penetrační testeři)

Spolupracovníci si často kupují přístup do sítí od jiných kyberzločinců, kteří již zkompromitovali systémy pomocí trojských koní či botnetů nebo prostřednictvím ukradených přihlašovacích údajů. Tyto třetí strany jsou známé jako zprostředkovatelé přístupu do sítě.

Spolupracovníci také mohou koupit data obsahující ukradené informace o účtech či interní informace, které mohou pomoci s průzkumem cíle. Ransomwarové gangy také často využívají spamové e-mailové služby a neprůstřelný hosting.

Jinými slovy, v ekosystému kyberzločinu existuje mnoho subjektů, které přímo nebo nepřímo vydělávají peníze díky ransomwaru.

Není tedy neobvyklé, že se tyto skupiny stávají profesionálnějšími a fungují stejným způsobem jako společnosti s investory, manažery, marketingem produktů, zákaznickou podporou, nabídkou pracovních míst, partnerstvími atd. Je to trend, který se během let pomalu vytváří.

„Podzemí kyberzločinu se v podstatě stalo samostatnou ekonomikou, kde máte poskytovatele služeb, tvůrce produktů, finančníky a poskytovatele infrastruktury,“ popisuje Brandon Hoffman, ředitel zabezpečení informací společnosti Intel 471.

„Je to ekonomika podobná té naší, kde máte všechny tyto dodavatele a odběratele různých produktů a služeb. Stejně jako v naší standardní ekonomice volného trhu – když máte všechny tyto různé typy poskytovatelů služeb a dodavatelů produktů, je pro ně přirozené, že začnou spolupracovat a vytvářet balíčky služeb a produktů. Lze tedy naprosto souhlasit s tím, že je to jasný směr, pro nás je ale těžké to dokázat.“

Roky víme, že zločinci mají životní cyklus vývoje softwaru jako všichni ostatní, popisuje Ragan.

„Využívají marketing, vztahy s veřejností a střední management. Mají lidi zodpovědné za zločince nižší úrovně, kteří jsou podřízeni zločincům vyšší úrovně. Není to nové. Jde jen o to, že se to lidé začínají dozvídat a začínají si paralelního světa všímat.“

Přizpůsobení se trhu

Ransomwarové útoky během let poškozují mnoho nemocnic, škol, veřejných služeb, místních a celostátních veřejných institucí, a dokonce i policejní oddělení, ale útok na počátku letošního května na společnost Colonial Pipeline, která má největší potrubní systém pro rafinované ropné produkty v USA, byl milníkem.

Toto narušení, přisuzované experty ruské ransomwarové skupině s názvem DarkSide, přinutilo firmu vypnout celý její systém, poprvé za 57letou historii, aby se zastavilo šíření ransomwaru do kritických řídicích systémů.

Výsledkem byl výpadek dodávky paliv po celém východním pobřeží USA. Incident získal rozsáhlou pozornost v médiích a ve Washingtonu, protože zdůraznil hrozbu, jakou ransomware představuje pro kritickou infrastrukturu. Vznikly také diskuze, zda se takové útoky mají považovat za formu terorismu.

Dokonce i operátoři skupiny DarkSide pochopili závažnost situace, oznámili zavedení „moderování“ pro své spolupracovníky (nezávislé dodavatele, kteří reálně vykonávají prolamování do systémů a nasazování ransomwaru) a prohlásili, že chtějí, „aby se zabránilo společenským důsledkům v budoucnu“. Pro skupinu poskytovatelů služeb to však bylo již příliš nežádoucí.

Pár dní po útoku oznámil správce XSS, jednoho z největších ruskojazyčných fór kyberzločinu, zákaz veškerých aktivit souvisejících s ransomwarem na této platformě a zdůvodnil to „příliš velkou pozorností veřejnosti“ a zvýšením rizik aktivizace policie na „hazardní úroveň“, uvádí zpráva společnosti Flashpoint.

Ostatní významné ransomwarové skupiny včetně uskupení REvil okamžitě oznámily podobné zásady moderování pro své spolupracovníky a ve snaze kontrolovat škody na pověsti u veřejnosti zakázaly útoky na zdravotnictví, školství a vládní instituce.

Ale ani to nestačilo. Dvě další velká fóra kyberzločinu, Exploit a Raid, zanedlouho také zavedla zákazy ransomwarových aktivit.

Následkem toho oznámila skupina DarkSide, že svůj provoz ukončí po ztrátě přístupu ke svému blogu, platebnímu serveru, bitcoinové peněžence a další používané veřejné infrastruktuře s odůvodněním, že její poskytovatel hostingu reagoval na „žádost zástupců vymáhání práva“. 

O měsíc později FBI oznámila, že se jí podařilo získat zpět 4,4 milionu dolarů v kryptoměně, kterou musela společnost Colonial Pipeline zaplatit hackerům pro dešifrování svých systémů a obnovení normálního provozu.

Zákaz ransomwarových aktivit na nejoblíbenějších fórech kyberzločinu představuje významný posun, protože tato fóra sloužila mnoho let jako primární místo, kde ransomwarové skupiny získávaly své dodavatele i spolupracovníky.

Tato fóra nabízejí snadno použitelné prostředky pro veřejnou i soukromou komunikaci mezi kyberzločinci, a dokonce poskytují služby pro finanční transakce, kdy se strany navzájem neznají a vzájemně si nedůvěřují.

Zákazy rovněž do určité míry ovlivnily společnosti ze sféry kybernetické bezpečnosti, které sledovaly tato fóra s cílem sbírat informace o útočnících a nových hrozbách.

Přestože většina expertů na kyberzločin věděla, že zákazy na fórech celkově nezastaví provoz ransomwaru, někteří přemýšleli nad budoucím stavem.

Dojde k migraci na méně populární fóra? Dojde ke zřízení vlastních webů pro inzerci a komunikaci s dodavateli a spolupracovníky? Přesunou se na chatovací programy pro komunikaci v reálném čase, jako jsou Jabber nebo Telegram?

„Následovala migrace těchto diskuzí do jiných privátních skupin,“ popisuje Ragan. „Samozřejmě že nezmizeli. Jenom se schovali před září veřejných reflektorů. Velmi dlouho jste mohli pozorovat jejich nábory, vývoj, diskuze a práci na konkrétních funkcích. Teď je to pryč.“ 

Podle něj nebude možné předpovědět mnoho změn. Bohužel to znamená, že se výzkumníci nedozvědí o nových variantách ani o nových funkcích, dokud nebude zasažena první oběť.

Provoz ransomwaru se zákazem na fórech nenarušil, protože většina z účastníků takových aktivit již dva až tři roky komunikovala přes soukromé skupiny na platformách Telegram a Threema, uvádí Ondrej Krehel, zakladatel a výkonný ředitel společnosti LIFARS zaměřené na digitální forenzní vědu a reakci na incidenty.

Na fórech sice existovaly určité aktivity v rámci marketingu, ale pokud jste chtěli získat něco konkrétnějšího, museli jste být součástí těchto skupin a některé k tomu vyžadovaly platbu v kryptoměně Bitcon z peněženky, která už byla spojená se známými aktivitami kyberzločinu, abyste se věrohodně představili, popisuje Krehel. „Rychlost růstu ransomwaru se nezmění,“ tvrdí.

Jen změněné role?

Každých několik měsíců oznamuje nějaká velmi známá ransomwarová skupina, že ukončuje svůj provoz. Nedávno to byla skupina Avaddon, předtím zase DarkSide. A ještě předtím Maze atd.

Někdy, když se rozhodnou odejít, tyto skupiny publikují své hlavní klíče, které by mohly pomoci některým obětem, jež ještě nezaplatily výkupné nebo neobnovily své soubory ze záloh, ale zločinci skrytí za těmito skupinami ve skutečnosti nemizí z ekosystému ani nejdou do vězení.

Jen se přesunou do jiných skupin nebo změní role, například z manažera či úspěšného provozovatele ransomwaru na investora.

Ragan to porovnává s tradičním zločinem, kde se využívají krycí společnosti k přesunům peněz, a když začne být riziko příliš vysoké, prostě vyhlásí bankrot a zločinci pokračují jinde. „Je to skoro stejné,“ popisuje.

„Je to další podobnost mezi světem zločinu a naším známým světem. V obou případech jsou to zločiny. Pokud takové organizace nefungují v kybernetické sféře, jsou použité jako krycí společnosti pro nekalé účely. Skupiny ransomwaru a malwaru fungují podobně.“

Ransomwarové skupiny obvykle fungují dva roky, protože vědí, že by poté přitahovaly příliš velkou pozornost, zejména v případě značné úspěšnosti, takže nejlepší metodou je skupinu rozpustit a vytvořit zcela novou.

Možná že někteří členové odejdou a začnou investovat do jiných skupin, ale toto míchání slouží spíše k zajišťování nepřehlednosti a ke ztížení práce policie, aby nemohla jednoduše získat jména účastníků, uvádí.

Návratnost investic do ransomwaru je tak dobrá, že si profesionální kyberzločinci nemohou dovolit se neúčastnit. To je důvod, proč skupiny spojované s dalšími formami kyberzločinu – například s krádežemi kreditních karet a prolamováním do bank – začaly používat ransomware jako další zdroj příjmů nebo spolupracovat s ransomwarovými gangy.

„Tyto skupiny se posunuly a spojily se s jinými a vytvořily aliance,“ popisuje Ragan. „Pokud chcete použít paralely z reálného světa, jsou to fúze a akvizice. Dochází tak k získání talentů z jiných skupin, se kterými se spojily, a k zahájení vývoje vlastního ransomwaru, nebo získají další programy a sloučí je do jednoho.“

Je naprosto jasné, že pravděpodobně dochází k novému využití a zapojení toho, co existovalo již dříve, prohlašuje Hoffman. „Maze, Egregor, REvil – rozpadnou se a vytvoří něco jiného – např. AstraLocker, LV a cokoli dalšího, co se objevuje. Přímá souvislost nemusí existovat vždy, ale nové a staré skupiny mají často mnoho společného.“

Některé nové skupiny mohou fungovat jako metoda náboru nových lidí do oboru a poskytnutí platformy, kde mohou získat zkušenosti. Když skupina poslouží svému cíli a skončí její životní cyklus, přesunou se někteří její spolupracovníci do zavedenějších struktur.

„Existuje ekosystém pro nábor zločinců, kteří mají dostatečně průkaznou praxi, dobře zvládli útočné mise a nenechali se chytit,“ tvrdí Krehel. „Tito lidé jsou dražší, jejich odbornost se stala součástí jejich kriminálního životopisu a v kruzích zločinců se považují za důvěryhodné.“

Zdá se také, že členové často mění skupiny. Je to skoro, jako byste sledovali dění ve velkých společnostech jako Google a Facebook, kde lidé mění pracovní pozice. Změna  pozic je zkrátka neustálá.

Ofenzivní akce

Kyberzločinci se nevzdají ransomwaru snadno, protože je příliš ziskový a mnoho z nich žije v Rusku nebo zemích původního Sovětského svazu, kde je nízká pravděpodobnost zatčení za krádež peněz západních firem.

Malwarové programy pocházející z Ruska nebo ze zemí bývalého Sovětského svazu často obsahovaly integrované kontroly, které blokovaly možnost jejich využití v počítačích na území Ruska či v zemích SNS.

Existuje nepsané pravidlo, které tvůrci malwaru a kyberzločinci respektují: neútočit na místní společnosti a vše bude v klidu.  Rusko své občany nevydává a vzhledem k současnému geopolitickému klimatu mezi touto zemí a Západem není příliš pravděpodobné rozšíření spolupráce s cílem potlačit kyberzločin.

Po dalším proslulém útoku ransomwaru v červenci, který ovlivnil přes tisíc společností z celého světa, promluvil americký prezident Biden s ruským protějškem Vladimirem Putinem a prohlásil, že je optimistický ohledně spolupráce v oblasti problémů s kyberzločinem.

Naznačil také, že Spojené státy jsou připravené odvetně zaútočit na servery používané ransomwarem. Krátce poté se skupina REvil stojící za ransomwarovými útoky odmlčela a společnost Kaseya, jejíž software byl prolomen a použit k šíření ransomwaru, dostala hlavní dešifrovací klíč od zdroje, který sice nezveřejnila, ale označuje ho za „důvěryhodnou třetí stranu“.

Pokud diplomatické kanály nebudou v budoucnosti přinášet výsledky a ruské úřady i zástupci zákona nebudou na svém území dostatečně jednat, může být nutné použít útočnější přístup k odrazení těchto skupin a k zastavení útoků dříve, než bude postižených mnoho obětí.

„Pokud se na vás jako ransomwarový gang zaměří cizí vláda, tak je konec. Nemůžete udělat vůbec nic,“ konstatuje Ragan. „Čelíte protivníkovi, který má neomezené množství času a zdrojů. Dostanou vás a není podstatné, jak dobří jste.“ 

Kyberzločinci tak podle něj mají realistický strach, což způsobuje jejich ústup. Je zde však problém: že by jen zmínka o sankcích, policii a úřadech na vynucování práva vyvolala vyklízení pozic?

Co se ale stane, když nedojde k žádnému skutečnému prosazení práva? Co se stane, když zástupci zákona a policie nastoupí, ale budou bezzubí? Potom se zločinci vrátí a budou ještě silnější, protože budou vědět, že jim v podstatě nic nehrozí a že k vynucení práva vlastně nikdy nedojde.

Kyberzločinci nechtějí bojovat s vládou na rozdíl od špatně připravených společností. „Pokud se tedy například plná síla národní kybernetické infrastruktury USA utká se světem kyberzločinu, což přesně provozovatelé souvisejících fór nechtějí, mohlo by to mít významný dopad,“ prohlašuje Hoffman.

„Na druhou stranu je otázka, nakolik se zviditelní národní kybernetická infrastruktura Ruska a jaké bude nebezpečí kybernetické války mezi USA a Ruskem.“

Pokud to byla vláda USA, kdo hackl lidi ze skupiny DarkSide, sebral jim bitcoiny a zničil infrastrukturu a počítače, byla by to velká věc, zamýšlí se Krehel.

Zkuste si představit hrozbu: přeletíme nad vaším domem, sebereme vám všechny finance na trhu, vezmeme vám vaše privátní klíče, zničíme každý vámi použitý server a budeme vás sledovat. Pokud v budoucnu zaútočíte na jakoukoli firmu, budete cílem po zbytek svého života…