Nejvíce výdělečnou krimi činností je kyberútok. I kybergangy však dělají chyby

Bankovní loupeže už dávno nejsou nejvýnosnějším zločinem. A není to ani vydírání, obchod s drogami nebo terorismus. V dnešní digitální éře je to kyberkriminalita, která kraluje žebříčku. Ransomwarové útoky, phishing a krádeže dat – to jsou nyní ty pravé zlodějské trumfy. Ale i kyberzločinci čelí jistým překážkám.

Tvrdý zásah federálů

Před nedávnem se v rámci mezinárodní spolupráce složené z britské Národní kriminální agentury, amerického Ministerstva spravedlnosti, FBI a Europolu podařilo významně narušit gang kyberzločinců LockBit. Tato skupina terorizuje svět od roku 2019 a na kontě má tisíce napadených firem, mezi které patří i giganti jako Continental, britská pošta Royal Mail, Boeing, Subway a TSMC. Kyberzločinecký gang LockBit funguje na principu „ransomware-as-a-service“ (RaaS), tzn. vyvíjí a nabízí svůj škodlivý software dalším „partnerům“ či „ransomware operátorům“.

Během tajné Operace Cronos se kyberkriminalistům podařilo převzít kontrolu nad darknetovými stránkami gangu LockBit, na kterých vystavili oznámení o policejní akci. Zároveň se jim podařilo získat zdrojový kód ransomwaru, klíče pro dešifrování systémů obětí a zjistit mnoho dalších důležitých informací o fungování gangu. „Jenže LockBit byl již během sedmi dní zpět, a to i s původními a nově publikovanými daty k prodeji, což naznačuje, že gang pravděpodobně získal zpět přístup k záloze původní databáze nebo alespoň části historických dat,“ říká Petr Kocmich, Global Cyber Security Delivery Manager společnosti Soitron.

Předstírané dopadení a útěk s penězi

Druhým nedávným příkladem je podobný kybernetický gang, respektive nechvalně proslulá ransomwarová skupina ALPHV, známá pod přezdívkou BlackCat, která v kybersvětě páchá škody od roku 2020. Za tak krátkou dobu se stala jedním z nejaktivnějších a nejrozšířenějších gangů, zodpovědným za nechvalně známé útoky jako ten na Colonial Pipeline v roce 2021. Nedávno ALPHV znovu udeřil a ukradl 6 TB dat z americké zdravotní společnosti Change Healthcare, čímž ohrozil citlivé informace milionů pacientů. Gang se zaměřuje na velké organizace, používá sofistikované techniky a taktiku dvojího vydírání. Své oběti nenechává na pochybách – s ALPHV není prostor pro vyjednávání.

Tato ransomwarová skupina – rovněž fungující na RaaS principu – nabízela nástroje pro kybernetické útoky širokému okruhu „ransomware operátorů“. Jenže, jak se zdá, uvnitř skupiny se zřejmě nedodržovaly vnitřní nepsané kodexy a docházelo k rozporům mezi partnerskými organizacemi. Začátkem března totiž ALPHV Ransomware náhle zmizel z on-line světa i s výpalným 22 milionů USD. Na jeho webu se objevilo sdělení podobné tomu u LockBitu, avšak tentokrát se k němu nikdo z federálů nepřihlásil. „Výzkumníci zabývající se kyberkriminalitou se shodli, že oznámení FBI o zabavení je téměř jistě falešné a zdá se, že bylo zkopírováno a vloženo z předchozího zabavení infrastruktury související s ALPHV. Navíc poukazují na několik faktorů včetně nekonzistentního zdrojového kódu HTML ve srovnání s legitimními oznámeními o zabavení. Je tedy možné, že administrátoři ALPHV podvedli jednu z jejich partnerských společností, a skutečnost, že alespoň jeden z donucovacích orgánů uvedených na oznámení — Národní kriminální agentura Spojeného království — popřela jakoukoliv účast.“ říká Petr Kocmich.

Osud gangu ALPHV je nejistý

Jako nejpravděpodobnější scénář konce skupiny se jeví interní zločinecký podvod. Někteří představitelé gangu pravděpodobně utekli s penězi z výkupného, a operátoři přišli o svůj zisk. Obvyklou praxí přitom je, že si získané peníze skupina rozdělí. Dokonce se objevily i zprávy o prodeji zdrojového kódu ALPHV malwaru za 5 milionů dolarů. Příběh jasně poukazuje na skutečnost, že i v kyberzločineckém světě někdy nepanuje řád. Zároveň slouží jako varování pro všechny, kteří se v této oblasti pohybují.

Návrat ransomwarového gangu ALPHV pod novým jménem je v tuto chvíli nejasný. Jedno ale jisté je: jejich reputace utrpěla těžkou ránu a kyberzločinci s nimi v budoucnu pravděpodobně nebudou chtít spolupracovat.

Hrozba s vnitřním napětím

Kybernetické gangy, jako LockBit a BlackCat, se v posledních letech pro organizace staly značnou hrozbou. Skládají se z různorodých skupin lidí s odlišnou motivací a jinými cíli, což může vést k vnitřnímu pnutí a konfliktům. Mezi faktory, které k tomu přispívají se řadí:

• Rozdělování zisku – není vždy jasné, jak se zisky z kybernetických útoků rozdělí mezi členy gangu.
• Rozdíly v dovednostech a zkušenostech – technické dovednosti a zkušenosti členů skupiny se liší.
• Národnostní a kulturní rozdíly – členové gangu mohou pocházet z různých zemí a kultur.
• Etické rozpory – někteří členové se vyhraňují proti určitým typům kybernetických útoků z etických důvodů.

Není žádným překvapením, že kyberzločinecké gangy se často potýkají s vnitřními rozkoly a úniky informací, přičemž mezi nejčastější vlivy patří neshody ohledně vedení a rozdělování zisku. Tyto problémy vedou k oslabení celkové struktury gangů, zvyšují riziko odhalení a předurčují ztrátu důvěry mezi členy. V důsledku toho se gangy štěpí, dochází k únikům interní komunikace a oslabování identity.

Problémy skupin neznamenají výhru pro organizace bojující proti nim

Špatná ostražitost a vnitřní nekonzistence představují běžné problémy kyberzločineckých gangů, které značně ohrožují úspěch jejich aktivit. Pro organizace to může znamenat jak dobrou, tak špatnou zprávu. Na jedné straně tyto problémy zvyšují zranitelnost gangů vůči zásahům donucovacích orgánů a zpravodajských služeb, což zvyšuje pravděpodobnost, že jejich členové budou dopadeni a odsouzeni. To může vést ke snížení počtu aktivních kyberzločinců, což je pro organizace pozitivní zpráva v souvislosti s rizikem kybernetických útoků. Oslabené gangy si navíc mohou poškodit reputaci v kybernetickém podsvětí, čímž se pro ně stane obtížnější shánět nové členy a spolupracovat s jinými skupinami. Na straně druhé budou tím spíše zoufalejší a uchýlí se k riskantnějším, a ještě agresivnějším typům útoků. Navíc takové rozpory můžou zapříčinit další únik citlivých informací, které následně zneužijí jiní kyberzločinci.

„Kyberzločinecké podsvětí je plné nevyzpytatelnosti. Ačkoliv se často tvrdí, že kybergangy fungují jako dobře organizované firmy, realita je jiná – v tomto prostředí panuje i chaos. Klíčoví členové těchto skupin bývají narcističtí a ješitní, a není neobvyklé, když zločinec podvede jiného zločince nebo sám křičí ‚chyťte zloděje‘. Proto je klíčové, aby organizace neustále posilovaly svou kybernetickou bezpečnost a chránily se před hrozbami, které mohou přicházet jak od slabších, tak od agresivnějších gangů,“ uzavírá Petr Kocmich.

I z tohoto důvodu si Soitron připravil promo akci EKI Report. V rámci ní mohou společnosti získat zcela zdarma analýzu svého externího prostředí. Více informací naleznete na https://cms.voidsoc.com/analyza-externeho-prostredia-letna-akcia/.