Przez długi czas uważano ich za niemal niemożliwych do złapania: Hakerzy, którzy wyłudzają pieniądze od swoich ofiar za pomocą oprogramowania ransomware. Sukcesy policji w śledztwie przeciwko REvil pokazują, że walka z ransomware nie jest tak beznadziejna, jak się wydaje.
Właściwie „podmioty powiązane” są dość jasno zdefiniowane w gospodarce sieciowej. Afilianci”, czasami nazywani również „partnerami”, są publicystami, którzy kierują swoich czytelników lub odwiedzających stronę na strony internetowe reklamodawców poprzez „linki afiliacyjne”, a następnie otrzymują prowizję, gdy czytelnicy stają się klientami.
Afilianci to bezpłatni partnerzy reklamowi, którzy nie zarabiają na samej emisji reklam, lecz wyłącznie na prowizjach. Lukratywność programów partnerskich jest bardzo zróżnicowana. Niektóre z nich są doskonałą okazją, zwłaszcza dla dużych serwisów, do zarabiania na swojej pracy; inne natomiast przynoszą co najwyżej kilka groszy.
Wśród najbardziej lukratywnych programów partnerskich znajdują się obecnie programy operatorów ransomware, takich jak REvil. Od kilku lat autorzy ransomware nie zawracają sobie głowy przenoszeniem złośliwego oprogramowania na inne systemy, ale polegają na firmach powiązanych.
Ci partnerzy otrzymują oprogramowanie od hakerów. Infiltrują oni systemy ofiar – czasami samodzielnie za pomocą wyrafinowanych technologii hakerskich, czasami poprzez zwykłe wiadomości spamowe – i wgrywają ransomware. Jeśli ofiara następnie zapłaci, otrzymuje część zysków, zwykle 70-80 procent. Autorzy ransomware’u mogą tymczasem odłożyć nogi na bok i patrzeć na napływające pieniądze.
Milionowy portfel skonfiskowany przez oddział
Recently, the US FBI has now gone after these affiliates. Mianowicie, śledczy wpadli na trop obywatela Rosji, Aleksandra Sikerina, zamieszkałego w Sankt Petersburgu
FBI Seizes Cryptocurrency Worth $2.3 Million From REvil Ransomware Group Affiliate | #malware | #ransomware#earegun
US law enforcement seized 39.9 Bitcoins from an Exodus wallet, worth approximately $2.3 million (roughly Rs. 17.3 crore) from a Russian citizen suspected of … pic.twitter.com/yyjGMQ4Y85
— Estiuck Al Regun (@earegun) December 6, 2021
FBI oskarża Sikerina o uzyskiwanie nieautoryzowanego dostępu do innych komputerów, instalowanie tam ransomware REvil, a następnie pranie pieniędzy. Na podstawie tego aktu oskarżenia, funkcjonariusze skonfiskowali portfel Exodus od Sikerina, który zawierał 39,9 Bitcoinów, czyli około 2,3 miliona dolarów.
Sikerin, według aktu oskarżenia, jest częściowo odpowiedzialny za ataki ransomware, które doprowadziły do wypłacenia okupu w wysokości około 200 milionów dolarów. Częściowo, te płatności okupu mogą być powiązane z portfelem Sikerina, który jest teraz pod kontrolą FBI.
Nie wiadomo dokładnie, jak FBI udało się wejść w posiadanie „portfela Exodus”. Exodus to portfel dla komputerów stacjonarnych i urządzeń mobilnych. Był lub jest krytykowany, ponieważ nie wszystkie części kodu są open source, ale jest raczej mało prawdopodobne, że portfel zawiera backdoor tak szeroki, że rząd USA może skonfiskować pieniądze za naciśnięciem przycisku. Bardziej prawdopodobne jest uzyskanie dostępu poprzez konfiskatę urządzeń lub hakowanie.
Międzynarodowy strajk przeciwko REvil
Portfel mógł być również częścią większej konfiskaty sprzed miesiąca. Wcześniej, w listopadzie, Departament Sprawiedliwości USA oskarżył Ukraińca i Rosjanina o kierowanie jednym z najgorszych ataków ransomware na Amerykanów.
Konkretnie chodziło o lipcowy atak ransomware REvil na dostawcę oprogramowania Kaseya. Ponieważ jego oprogramowanie znajduje się w wielu systemach, atak objął cały świat. Ucierpiały na tym tysiące firm, w tym na przykład wszystkie koopy w Szwecji.
Supply chain attacks continue to have a widespread impact and this is an example of how deep they can go.
800 supermarkets closed because of their POS provider’s MSP’s software provider experiencing a ransomware attack.
= A mouthful of supply chain risk. https://t.co/EdtrZF6Z0U
— Sandeep Kumar (@deepsand) July 3, 2021
Ukrainiec Yaroslav Vasinsky został aresztowany w Polsce w październiku tego samego roku. On i jego rosyjski kolega Yevgeny Polynin są oskarżeni o włamywanie się do komputerów ofiar i instalowanie ransomware REvil. W przeciwieństwie do Wasińskiego, Polinin jest nadal na wolności.
W trakcie tych dochodzeń władze USA skonfiskowały Bitcoiny i Monero o wartości ponad sześciu milionów dolarów, które pochodzą z płatności okupu. Oprócz FBI w sprawę zaangażowane były także Europol i inne agencje policyjne.
Według Europolu, na początku listopada w Rumunii aresztowano dwóch kolejnych oskarżonych o rozpowszechnianie oprogramowania ransomware REvil, a urzędnicy w Korei Południowej potwierdzili, że aresztowali trzech podejrzanych. W sumie śledczy ścigali 12 podejrzanych, którym zarzuca się odpowiedzialność za ataki ransomware w 71 krajach.
Nie jest to jednak zbrodnia doskonała
Przez długi czas oprogramowanie ransomware było uważane za „przestępstwo doskonałe”, ponieważ wytropienie sprawców wydawało się prawie niemożliwe. Teraz wydaje się, że fala powoli się odwraca. Przemawiają za tym przynajmniej sukcesy śledcze przeciwko REvilowi.
Jednym z powodów może być to, że hakerzy ransomware posunęli się za daleko. Włamanie do znanej kancelarii prawnej było już wystarczającym powodem, by rząd USA zaczął mówić o „cyberterroryzmie”; trwające ataki na administracje miejskie, szpitale i uniwersytety wyczerpały już chyba cierpliwość władz; włamanie do Colonial Pipeline oraz Kasey były słomą, która złamała kręgosłup wielbłąda.
Bitcoin i Darknet zmuszają organy ścigania na całym świecie do ponadnarodowej współpracy. Wiemy to już z niekiedy spektakularnych sukcesów w walce z darknetowymi marketplacami. Obecnie policja konsekwentnie wykorzystuje zasoby i kompetencje, które zgromadziła w tym procesie, w walce z oprogramowaniem ransomware.
Ponadto zmiana strategii również wydaje się obiecująca. Kimberly Goody, dyrektor firmy Mandiant, wyjaśniła, że podjęcie działań przeciwko podmiotom powiązanym może być bardziej obiecujące niż przeciwko rdzeniowi gangu ransomware. Dzieje się tak dlatego, że osoby powiązane są nie tylko bliżej miejsca przestępstwa – to one, a nie autorzy ransomware włamują się do komputerów – ale są często mniej ostrożne, a „ich umiejętności są bardziej pożądane niż oprogramowanie szyfrujące”. Niektórzy afilianci pracują dla wielu gangów. Może się więc okazać, że to nie tyle twórcy oprogramowania, co partnerzy są wąskim gardłem w gospodarce ransomware.
W rzeczywistości wydaje się, że trudno jest dotrzeć do twórców samego oprogramowania. Twórcy REvil wycofali się już w lecie po tym, jak Colonial Pipeline został zhakowany. Przypuszczalnie zdawali sobie sprawę, że linia została przekroczona.
