W lutym bieżącego roku zamknięta została strona internetowa grupy cyberprzestępczej LockBit – jednego z najniebezpieczniejszych gangów ransomware w ostatnich latach. Operacji przeprowadzonej przez brytyjskie National Crime Agency (NCA), we współpracy z organami ścigania z całego świata, towarzyszyło zatrzymanie dwóch mężczyzn: jednego w Polsce i jednego w Ukrainie. Zdaniem Chestera Wisniewskiego, eksperta firmy Sophos, starania służb na rzecz walki z cyberprzestępczością, są nie tylko zasadne, ale również pozwalają zobaczyć, jak funkcjonują grupy hakerskie i z jakich narzędzi można korzystać, aby skutecznie utrudniać im działalność.
Czym jest „gang ransomware”?
W większości przypadków trzon grupy przestępczej posługującej się ransomware tworzą programiści odpowiedzialni za tworzenie złośliwego oprogramowania, stron internetowych i witryn służących ofiarom do płatności okupów. Gangi potrzebują do tych działań osób, które zajmują się praniem pieniędzy oraz negocjatorów posługujących się językiem angielskim. Same ataki przeprowadzają tak zwani „partnerzy” – cyberprzestępcy korzystający z platformy, na której udostępniono oprogramowanie ransomware. Jeśli uda im się wyłudzić pieniądze, dzielą się wpływami z gangiem, z którego zasobów korzystali.
Chester Wisniewski, dyrektor ds. technologii w firmie Sophos tłumaczy, że grupy ransomware są ze sobą bardzo luźno powiązane. Jego zdaniem zamknięcie strony LockBit nie oznacza, że zrzeszeni w niej cyberprzestępcy zakończyli swoje kariery.
LockBit należy traktować jak markę. Zamknięcie go niekoniecznie musi wpływać na tworzące ją osoby. To prawda, że tej grupie, po objęciu sankcjami w USA, trudniej będzie wyłudzić okupy od amerykańskich firm. Jednak jej członkowie mogą pojawić się ponownie np. jako CryptoMegaUnicornBit i cały cykl zacznie się od nowa. Sankcje jedynie ograniczą prędkość, z jaką działają cyberprzestępcy, ale nie są realnymrealnym, długofalowym rozwiązaniem problemu ransomware. – objaśnia Chester Wisniewski.
Ekspert jednocześnie przekonuje, że wspólne działania organów ścigania z różnych krajów są bardzo skuteczne. Dzięki współpracy służb cyberprzestępcy, przeciwko którym wniesiono akt oskarżenia w Stanach Zjednoczonych, zostali zatrzymani w Polsce (za pranie pieniędzy) i w Ukrainie (nie ujawniono szczegółów), a przed sądem staną we Francji.
Nawet hakerzy mają problem z cyberbezpieczeństwem
Wspomniane zatrzymania członków grupy LockBit były możliwe dzięki zinfiltrowaniu infrastruktury cyberprzestępców przez organy ścigania. Chester Wisniewski tłumaczy, że najgroźniejsi hakerzy mogą paść ofiarą podobnych błędów, na które polują u swoich ofiar.
Były już przypadki, że organy ścigania „włamywały się” do systemów atakujących, wykorzystując luki zero-day w zabezpieczeniach przeglądarek internetowych i oprogramowania. Cyberprzestępców namierzano również przez to, że zapominali oni o używaniu VPN-a i zapewniającej anonimowość przeglądarki Tor. Tak zwane błędy bezpieczeństwa operacyjnego (OpSec) mogą ostatecznie pogrążyć nawet tych, którzy sami korzystają z najbardziej wyrafinowanych metod, by nielegalnie pozyskać cenne dane. – komentuje specjalista Sophos.
Jego zdaniem do skutecznej walki z cyberprzestępczością konieczne są zarówno inwestycje w umiejętności i liczebność cyberpolicjantów, jak również edukacja przedstawicieli sądów. Tylko w ten sposób operacje mające na celu rozbicie grup hakerskich „od środka” będą mogły być zatwierdzane regularnie i częściej będą kończyć się sukcesem.
Służby wysyłają hakerom jasny sygnał
Międzynarodowe działania na rzecz zamknięcia strony internetowej grupy LockBit należy traktować jako częściowy sukces. Służbom nie udało się bowiem całkowicie wyłączyć sieci należącej do cyberprzestępców, w tym witryny, na której umieszczono wykradzione ofiarom hakerów treści w odwecie za niezapłacone okupy. Mimo to przestępcom został wysłany jasny sygnał: jesteśmy wśród was i widzimy, co robicie.
Od pewnego czasu obserwujemy, że gangi ransomware zachowują się paranoicznie i mają przeświadczenie, że w ich struktury mogli wniknąć przedstawiciele służb. Już samo takie myślenie może sprawić, że ze współpracy z grupami cyberprzestępczymi zrezygnują potencjalni partnerzy. Zwiększa to koszty prowadzenia przez nich działalności, co oczywiście działa na naszą korzyść. To najlepszy dowód na to, że presja naprawdę ma sens i że w walce z hakerami warto korzystać z wszystkich dostępnych narzędzi. – Chester Wisniewski.