Dlouhou dobu bylo považováno za téměř nemožné je dopadnout: Hackeři, kteří od svých obětí vymáhají peníze prostřednictvím ransomwaru. Úspěchy policie při vyšetřování případu REvil nyní ukazují, že boj proti ransomwaru není tak beznadějný, jak se zdá.
„Přidružené společnosti“ jsou ve skutečnosti v síťové ekonomice poměrně jasně definovány. „Affiliates“, někdy také nazývaní „partneři“, jsou publicisté, kteří přesměrovávají své čtenáře nebo návštěvníky stránek na webové stránky inzerentů prostřednictvím „affiliate odkazů“ a poté dostávají provizi, když se čtenáři stanou zákazníky.
Affiliates jsou bezplatní reklamní partneři, kteří nevydělávají pouze vysíláním reklamy, ale pouze prostřednictvím provizí. Lukrativita partnerských programů se značně liší. Některé z nich jsou vynikající příležitostí, zejména pro velké webové stránky, jak vydělat peníze na své práci; jiné naopak přinášejí v nejlepším případě jen pár haléřů.
Mezi nejlukrativnější partnerské programy, které lze v současnosti najít, patří programy provozovatelů ransomwaru, jako je REvil. Již několik let se autoři ransomwaru neobtěžují dostat malware do jiných systémů sami, ale spoléhají se na partnery.
Tyto pobočky dostávají software od hackerů. Proniknou do systémů oběti – někdy sami pomocí sofistikovaných hackerských technologií, jindy prostřednictvím obyčejných spamových e-mailů – a nahrají ransomware. Pokud oběť zaplatí, dostane podíl z výtěžku, obvykle 70-80 %. Autoři ransomwaru si mezitím mohou dát nohy nahoru a sledovat, jak se jim sypou peníze.
Peněženka s milionem dolarů zabavená pobočkou
Nejnověji se na tyto pobočky vrhla americká FBI. Konkrétně se vyšetřovatelé dostali na stopu ruského občana Alexandra Sikerina, který pobývá v Petrohradě
FBI Seizes Cryptocurrency Worth $2.3 Million From REvil Ransomware Group Affiliate | #malware | #ransomware#earegun
US law enforcement seized 39.9 Bitcoins from an Exodus wallet, worth approximately $2.3 million (roughly Rs. 17.3 crore) from a Russian citizen suspected of … pic.twitter.com/yyjGMQ4Y85
— Estiuck Al Regun (@earegun) December 6, 2021
FBI obviňuje Sikerina z toho, že získal neoprávněný přístup k dalším počítačům, nainstaloval tam ransomware REvil a následně pral peníze. Na základě tohoto obvinění úředníci zabavili Sikerinovi peněženku Exodus, která obsahovala 39,9 bitcoinů, tedy asi 2,3 milionu dolarů.
Podle obžaloby je Sikerin částečně zodpovědný za útoky ransomwaru, které vedly k vyplacení výkupného ve výši přibližně 200 milionů dolarů. Tyto platby výkupného lze částečně spojit se Sikerinovou peněženkou, která je nyní pod kontrolou FBI.
Jak přesně se FBI podařilo zmocnit „peněženky Exodus“, zatím není jasné. Exodus je peněženka pro stolní počítače a mobilní zařízení. Byl nebo je kritizován, protože ne všechny části kódu jsou open source, ale je spíše nepravděpodobné, že by peněženka obsahovala tak rozsáhlá zadní vrátka, že by vláda USA mohla zabavit peníze stisknutím tlačítka. Pravděpodobnější je přístup buď prostřednictvím zabavení zařízení, nebo hackerského útoku.
Mezinárodní stávka proti zlu
Peněženka mohla být také součástí rozsáhlejšího zabavení před měsícem. Americké ministerstvo spravedlnosti začátkem listopadu obvinilo Ukrajince a Rusa, že stojí za jedním z nejhorších útoků ransomwaru na Američany.
Konkrétně se jednalo o červencový útok ransomwaru REvil na poskytovatele softwaru Kaseya. Vzhledem k tomu, že její software je v mnoha systémech, útok se šířil po celém světě. Postiženy byly tisíce podniků, včetně například všech koopů ve Švédsku.
Supply chain attacks continue to have a widespread impact and this is an example of how deep they can go.
800 supermarkets closed because of their POS provider’s MSP’s software provider experiencing a ransomware attack.
= A mouthful of supply chain risk. https://t.co/EdtrZF6Z0U
— Sandeep Kumar (@deepsand) July 3, 2021
Ukrajinec Jaroslav Vasinskij byl v říjnu téhož roku zatčen v Polsku. On a jeho ruský kolega Jevgenij Polynin jsou obviněni z vloupání do počítačů obětí a instalace ransomwaru REvil. Na rozdíl od Vasinského je Polynin stále na svobodě.
Během těchto vyšetřování americké úřady zabavily Bitcoiny a Monero v hodnotě více než šest milionů dolarů, které pocházejí z výkupného. Kromě FBI se na něm podílel také Europol a další policejní agentury.
Podle Europolu byli na začátku listopadu v Rumunsku zatčeni další dva obvinění z šíření ransomwaru REvil a úřady v Jižní Koreji potvrdily, že zatkly tři podezřelé. Celkem vyšetřovatelé stíhají 12 podezřelých, kteří jsou obviněni z odpovědnosti za útoky ransomwaru v 71 zemích.
Není to však dokonalý zločin
Dlouhou dobu byl ransomware považován za „dokonalý zločin“, protože se zdálo, že je téměř nemožné vypátrat pachatele. Nyní se zdá, že se situace pomalu obrací. Přinejmenším o tom svědčí úspěchy ve vyšetřování proti REvilu.
Jedním z důvodů může být to, že hackeři s ransomwarem zašli příliš daleko. Už hackerský útok na slavnou právnickou firmu byl dostatečným důvodem k tomu, aby americká vláda začala mluvit o „kyberterorismu“; pokračující útoky na městské úřady, nemocnice a univerzity pravděpodobně vyčerpaly trpělivost úřadů; hackerský útok na Colonial Pipeline a Kasey byly tou kapkou, která zlomila velbloudí hřbet.
Bitcoin a Darknet nutí orgány činné v trestním řízení na celém světě k nadnárodní spolupráci. To už víme z někdy velkolepých úspěchů proti darknetovým tržištím. Nyní policie v boji proti ransomwaru důsledně využívá prostředky a kompetence, které v tomto procesu získala.
Kromě toho se zdá být slibná i změna strategie. Kimberly Goodyová, ředitelka bezpečnostní firmy Mandiant, vysvětlila, že by mohlo být perspektivnější podniknout kroky proti přidruženým společnostem než proti jádru ransomwarového gangu. Důvodem je nejen to, že pobočky jsou blíže místu činu – do počítačů se nabourávají oni, nikoli autoři ransomwaru -, ale často jsou méně opatrné a „jejich dovednosti jsou žádanější než šifrovací software“. Některé pobočky také pracují pro více gangů. Mohlo by se tedy stát, že úzkým hrdlem ekonomiky ransomwaru nebudou ani tak vývojáři softwaru, ale spřízněné společnosti.
Ve skutečnosti se zdá, že je těžké dostat se k tvůrcům samotného softwaru. Tvůrci hry REvil se stáhli již v létě poté, co byl hacknut Colonial Pipeline. Pravděpodobně si uvědomili, že tímto překročili hranici.
