FBI, Europol a další bezpečnostní složky z několika států koncem února oznámily, že se jim výrazně podařilo narušit fungování největší ransomwarové skupiny světa LockBit. Od roku 2019 napadla tisíce organizací a způsobila škody za miliardy dolarů. Úřady převzaly kontrolu nad některými službami, odstavily 34 serverů a získaly přístup ke zdrojovým kódům. Dvě osoby byly zatčeny a na další byl vydán zatykač.
Během zásahu a šetření se zároveň podařilo zjistit další informace o rusky hovořících hackerech, kteří se nejenom kolem LockBitu točí. Tato analýza shrnuje podivné zákulisní drama s hádkou o peníze a vyhrožováním vraždou.
Ruští kybernetičtí škůdci v mnoha případech žijí v jakési symbióze s Ruskem jako takovým. Tamní stát některé skupiny přímo provozuje nebo podporuje, protože pomocí nich vede akce vůči jiným zemím. V případě kybernetických kriminálníků, kam spadají i provozovatelé botnetů nebo ransomwaru, je Rusko značně shovívavé.
„Když ruští hackeři operují mimo Rusko, případně mimo spřízněné země bývalého Sovětského svazu, často mají od státu volnou ruku. Mezinárodní složky je v Rusku nemají šanci zatknout a tamní policie to neudělá. Problém pro tyto hackery by nastal, kdyby začali škodit na ruském území, to by si pro ně FSB hned přišla,“ popsal Lupě Sergey Shykevich, který vede skupinu pro threat intelligence ve společnosti Check Point a podobné aktivity zkoumá.
Ruský stát zahraniční působení kyberkriminálníků podporuje či tiše ignoruje z několika důvodů. Ransowarové a další skupiny například ze své nelegální činnosti přináší do Ruska peníze, řekněme valuty. A také ukazují, jak je Západ proti kyberútokům zranitelný.
Známá jména
Rusky hovořící hackeři často operují na fórech na deepwebu, což neznamená, že by šlo o stránky dostupné pouze z Toru (onion), ale zároveň nejsou dohledatelné přes Google. Takových fór je řada. Minimálně u jednoho z nich existuje podezření, že je spravované ruskými bezpečnostními složkami. Běží dlouhodobě a má velké množství příspěvků a témat. Řeší se tam kdeco, včetně prodejů ukradených loginů a kreditních karet, pronájmu botnetů nebo prodeje útočných softwarových nástrojů.
Na těchto fórech se často pohybují zahraniční bezpečnostní složky a sledují, co se děje. Někteří ruští hackeři jsou známí a jsou vedení mezi mezinárodně hledanými osobami. Mikhail Pavlovich Matveev operující jako Wazawaka se kromě jiného točil kolem LockBitu. Pobývá v Rusku, kam na něj mezinárodní společenství nemůže. „Nemá úmysly odjet,“ odhadl Shykevich.
Známou personou je také Maksim Yakubets neboli Aqua. Žije si dobře a má kolekci vozů Lamborghini, kterými se prohání po ruských silnicích. „Obecně se má za to, že se kyberkriminálníci skrývají. Yakubets nikoliv. Užívá si peníze a to, že je slavná osoba z kybernetického podsvětí,“ popsal Shykevich.
Držet se v Rusku je pro tyto osoby obecně dobrou radou. Vyacheslav Igorevich Penchukov působil patnáct let v ruském undergroundu a z bank po celém světě ukradl desítky milionů dolarů. Byl zatčen ve Švýcarsku, protože udělal jednu chybu: vycestoval z Ruska, aby si prostředky užil i jinde.
Obchod s insidery
Fóra na deepwebu a darknetu jsou zajímavá i z pohledu insiderů, kteří tam nabízí své služby. Je běžné, že na fóra chodí zaměstnanci telekomunikačních, technologických, finančních a dalších společností a za úplatu tam nabízí výměnu SIM karet, databáze všeho možného, či dokonce přístupy do systémů. Na ukázky takových inzerátů se můžete podívat v naší galerii.
Na východoevropských fórech lze dokonce narazit na organizace, které nabízí služby insiderů z jejich databáze, případně služby insiderů monitorují. Jedním z nich je osoba známá jako Videntis, který disponuje katalogem s jedenácti stránkami plnými služeb spojených s insidery.
„Některé služby Videntise jsou velmi běžné, jako jsou vyhledání mobilního čísla za 2500 rublů do 48 hodin, výpis všech hovorů a SMS do 72 hodin za 25 tisíc rublů nebo přesměrování všech hovorů z určitého čísla za 19 tisíc rublů. Další služby se týkají ruských bank, jako například Ozon. Za osm tisíc rublů je možné do 72 hodin zjistit tajné slovo nebo za devět tisíc rublů získat výpis z libovolného účtu. Za 900 dolarů slibuje hacker využít své kontakty pro zablokování WhatsAppu libovolného uživatele, zablokování SIM karty u libovolného operátora nebo za 850 dolarů do sedmi až 30 dnů zablokování nějakého osobního účtu na Instagramu nebo TikToku. Některé služby jsou univerzálnější, jako například potvrzení o očkování do zahraničí nebo vytvoření zdravotních dokladů pro cestování,“ shrnul Check Point.
Hackeři také sami insidery oslovují a aktivně shání. „Hackerská skupina LAPSUS$ například hledala insidera uvnitř telekomunikačních společností a nabízela odměnu a nízké riziko pro insidera i hackery. Jiná skupina zase nabízí dva až pět tisíc dolarů zaměstnancům, kteří mají přístup k řidičům u různých prodejních společností. Ale výjimkou nejsou ani vyšší částky, například až sto tisíc dolarů insiderovi v technologických společnostech,“ uvedla dále společnost.
Dopad útoků, do kterých jsou zapojeni zaměstnanci, může být likvidační. Ponemon Institute ve své studii uvedl, že se jen v roce 2022 průměrné náklady na incident spojený s insidery vyšplhaly na 15,4 milionu dolarů.
Motivace insiderů jsou různé. Finanční zisk je pouze jedna část, někdo se zaměřuje na pomstu a jiní zase na ideologické či politické důvody. Všechny tyto aktivity jsou nelegální a pro insidery nebezpečné.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU