- Lukáš Bauer
- PC / Notebooky
- 11. května 2021
- 12:07
Americký páteřní ropovod byl napaden profesionální hackerskou skupinou
Dokazují to zprávy o organizacích zasažených ransomwarem, které se pravidelně objevují na titulních stránkách novin - včetně aktuálního útoku na Colonial Pipeline, největšího provozovatele potrubní sítě na přepravu ropných produktů v USA. V tuto chvíli není zatím jasné, o jak vysoké výkupné si řekli útočníci. Závažnost situace potvrzuje zapojení FBI.
Tím, jak se tyto skupiny stávají středem zájmu, odvádějí ovšem pozornost od skutečné složitosti ekosystému ransomwaru. Analytici společnosti Kaspersky chtějí organizacím pomoct porozumět způsobům, jak ekosystém ransomware funguje a jak se mu bránit, a proto se ve své nejnovější zprávě zabývají informacemi z diskusních fór na darknetu, podrobně zkoumají činnost gangů REvil a Babuk a dalších a odhalují některé z mýtů, které o ransomware kolují. A když se ponoříte do takového podsvětí, musíte být připraveni na mnohá překvapení a různé tváře, jež může skrývat.
Ekosystém ransomware zahrnuje – stejně jako každý jiný obor – mnoho hráčů, kteří mají nejrůznější role. Ale jakkoli jsou mnozí přesvědčeni, že ransomware gangy mají skutečnou podobu gangů – uzavřených skupin ve smyslu „všichni za jednoho“ a ve stylu legendárního Kmotra, skutečnost se spíš podobá světu z filmu Gentlemani režiséra Guye Ritchieho se spoustou různých aktérů – vývojářů, botmasterů, prodejců přístupových údajů, operátorů ransomware – kteří se účastní na většině útoků a poskytují si vzájemně služby prostřednictvím tržišť na dark webu.
Tito aktéři se kontaktují na specializovaných fórech na darknetu, kde lze najít pravidelně aktualizované nabídky služeb a partnerství. Velcí prominentní hráči, kteří hrají sami za sebe, tyto servery nenavštěvují, ale i dost známé skupiny, jako REvil, které v uplynulých několika čtvrtletích ve zvýšené míře cílily na různé organizace, pravidelně zveřejňují novinky a své nabídky formou společných programů.
Tento způsob spolupráce předpokládá vytvoření partnerství mezi skupinou operátora ransomware a společníkem, přičemž operátor ransomware si vezme podíl na zisku od 20 do 40 % a zbývajících 60 až 80 % zůstane společníkovi.
Výběr případných partnerů je velmi pečlivě promyšlený proces, jehož základní pravidla nastavují operátoři ransomware od samého začátku – včetně geografických omezení, a dokonce politického zaměření. A stejně tak se oběti ransomware útoků vybírají cíleně.
Jelikož lidé, kteří napadají organizace, a ti, kdo ve skutečnosti provozují ransomware, jsou rozdílné skupiny a obě jsou vytvořené především za účelem dosažení zisku, jsou proto nejčastěji napadány organizace z oblasti „lehce dosažitelných cílů“. V podstatě jde o ty, k nimž útočníci získají přístup nejsnadněji. Proto to pak můžou být jak aktéři, kteří fungují v rámci partnerských programů, tak nezávislí operátoři, kteří následně prodávají přístupová data ve formě aukcí nebo za paušální poplatek, jehož cena může začínat na pouhých 50 dolarů.
Tito útočníci jsou ve většině případů majitelé botnetů, kteří se podílejí na masivních kampaních se širokým dosahem a prodávají přístupové údaje k počítačům obětí ve velkých objemech. Rovněž oslovují prodejce s cílem zjistit veřejně dostupné zranitelnosti softwarů chránících přístup na internet, například VPN zařízení a služby nebo e-mailové portály, které by mohli využít pro infiltraci do napadených organizací.
Sdílení
Twitter
Komentáře
Email