Skupiny si na ransomvérové útoky po novom najímajú externistov

Skupiny si na ransomvérové útoky po novom najímajú externistov

Komunikácia medzi hekermi sa pomaly presúva z diskusných fór na súkromné kanály.

Výskum bezpečnostnej firmy Advanced Intelligence (AdvIntel) nedávno odhalil nový trend fungovania ruského čierneho trhu a zároveň poukázal na komplikovanosť tamojších vzťahov. Kyberzločinecké skupiny si podľa ich zistení začínajú čoraz častejšie budovať rozsiahlu sieť externých špecialistov – hekerov, ktorí pre nich majú zabezpečiť prístup do vysoko zabezpečených sietí, alebo do nich priamo nasadiť ich ransomvér.

Tento typ spolupráce vraj prináša výhody obom stranám. Na ruských hekerských fórach je totiž podľa nich množstvo schopných hekerov, ktorí dokážu preniknúť do podnikových a vládnych sietí. Speňaženie prístupov môže byť preto v tejto veľkej konkurencii pre nich ťažké. Problémoví sú naviac aj neskúsení zákazníci, ktorí tieto cenné prístupy rýchlo stratia alebo prilákajú pozornosť úradov. Riešenie ponúkla nová generácia kyberzločincov operujúcich s ransomvérom, ktorí tieto prístupy dokážu využiť oveľa efektívnejšie.

Podľa zistení AdvIntel experti na prienik do počítačových sietí za posledné dva roky odchádzajú z hekerských fór, aby mohli s vybranými zákazníkmi komunikovať cez aplikácie na bezpečnú komunikáciu.

Tento trend potvrdzuje aj Európsky policajný úrad, ktorý vo svojej výročnej správe IOCTA pre rok 2019 upozorňuje na experimenty s „podnikaním na vlastnú päsť“ na darknete. Predajcovia podľa úradu začínajú skúšať vlastné exkluzívne obchody a/alebo prevádzkujú obchod výhradne cez súkromné šifrované kanály na mobilných aplikáciách.

Zdroj: Advanced Intelligence

-TMT-, Lalartu a REvil

AdvIntel ako príklad uvádza hekera -TMT- a skupinu REvil. Tí začali spolupracovať v auguste tohto roku vďaka spoločnému kontaktu – hekerovi „Lalartu”.

K spojeniu Lalarta a -TMT- pôvodne došlo na základe rovnakej špecializácie, a to preniknutie do administrátorských účtov. V roku 2019 sa obaja rozhodli ponúkať svoje služby skupinám, ktoré páchajú ransomvérové útoky. Keď však zistili, že je ich stratégia efektívna, rozšírili svoju klientelu. Práve Lalartu uľahčil nadviazanie spolupráce medzi REvil a -TMT-, ktorého si skupina vyžiadala vďaka jeho hekerským zručnostiam.

-TMT- sa pripojil k ilegálnej komunite v máji tohto roku prostredníctvom registrácie na jedno z najvplyvnejších hekerských fór. Zdroje AdvIntel však tvrdia, že -TMT- pred pripojením na fórum operoval už najmenej rok cez iné súkromné kanály.

Medzi jeho posledné obete patria univerzity a vzdelávacie inštitúcie v Spojených štátoch, poskytovateľ finančných služieb z Kolumbie, energetická spoločnosť z Bolívie, výrobca mliečnych výrobkov z Dánska či medzinárodný námorný prepravca.

Ceny za prístupy do sietí rozličných spoločností sa pohybovali od 3-tisíc do 5-tisíc dolárov v závislosti od ponúkaného typu prístupu. Koncom júla -TMT- zverejnil ponuku na úplný prístup do serverov a VPN sietí nemenovanej spoločnosti až za 20-tisíc dolárov.

Heker pre AdvIntel povedal, že sa mu „podarilo úspešne získať oprávnenie správcu a mohol bezpečne prechádzať sieťou a podľa potreby posilňovať svoje prístupové práva“. Navyše získal prístup do servera finančného oddelenia, ktorý obsahoval citlivé informácie o spoločnosti.

Po nadviazaní kontaktu so skupinou -TMT- aj Lalartu odišli z hekerského fóra.

(KK)