W lutym bieżącego roku zamknięta została strona internetowa grupy cyberprzestępczej LockBit – jednego z najniebezpieczniejszych gangów ransomware w ostatnich latach. Operacji przeprowadzonej przez brytyjskie National Crime Agency (NCA), we współpracy z organami ścigania z całego świata, towarzyszyło zatrzymanie dwóch mężczyzn: jednego w Polsce i jednego w Ukrainie. Zdaniem Chestera Wisniewskiego, eksperta firmy Sophos, starania służb na rzecz walki z cyberprzestępczością, są nie tylko zasadne, ale również pozwalają zobaczyć, jak funkcjonują grupy hakerskie i z jakich narzędzi można korzystać, aby skutecznie utrudniać im działalność.
Czym jest „gang ransomware”?
W większości przypadków trzon grupy przestępczej posługującej się ransomware tworzą programiści odpowiedzialni za tworzenie złośliwego oprogramowania, stron internetowych i witryn służących ofiarom do płatności okupów. Gangi potrzebują do tych działań osób, które zajmują się praniem pieniędzy oraz negocjatorów posługujących się językiem angielskim. Same ataki przeprowadzają tak zwani „partnerzy” – cyberprzestępcy korzystający z platformy, na której udostępniono oprogramowanie ransomware. Jeśli uda im się wyłudzić pieniądze, dzielą się wpływami z gangiem, z którego zasobów korzystali.
Chester Wisniewski, dyrektor ds. technologii w firmie Sophos tłumaczy, że grupy ransomware są ze sobą bardzo luźno powiązane. Jego zdaniem zamknięcie strony LockBit nie oznacza, że zrzeszeni w niej cyberprzestępcy zakończyli swoje kariery.
– LockBit należy traktować jak markę. Zamknięcie go niekoniecznie musi wpływać na tworzące ją osoby. To prawda, że tej grupie, po objęciu sankcjami w USA, trudniej będzie wyłudzić okupy od amerykańskich firm. Jednak jej członkowie mogą pojawić się ponownie np. jako CryptoMegaUnicornBit i cały cykl zacznie się od nowa – objaśnia Chester Wisniewski. – Sankcje jedynie ograniczą prędkość, z jaką działają cyberprzestępcy, ale nie są realnymrealnym, długofalowym rozwiązaniem problemu ransomware – przekonuje.
Ekspert jednocześnie przekonuje, że wspólne działania organów ścigania z różnych krajów są bardzo skuteczne. Dzięki współpracy służb cyberprzestępcy, przeciwko którym wniesiono akt oskarżenia w Stanach Zjednoczonych, zostali zatrzymani w Polsce (za pranie pieniędzy) i w Ukrainie (nie ujawniono szczegółów), a przed sądem staną we Francji.
Nawet hakerzy mają problem z cyberbezpieczeństwem
Wspomniane zatrzymania członków grupy LockBit były możliwe dzięki zinfiltrowaniu infrastruktury cyberprzestępców przez organy ścigania. Chester Wisniewski tłumaczy, że najgroźniejsi hakerzy mogą paść ofiarą podobnych błędów, na które polują u swoich ofiar.
– Były już przypadki, że organy ścigania „włamywały się” do systemów atakujących, wykorzystując luki zero-day w zabezpieczeniach przeglądarek internetowych i oprogramowania. Cyberprzestępców namierzano również przez to, że zapominali oni o używaniu VPN-a i zapewniającej anonimowość przeglądarki Tor. Tak zwane błędy bezpieczeństwa operacyjnego (OpSec) mogą ostatecznie pogrążyć nawet tych, którzy sami korzystają z najbardziej wyrafinowanych metod, by nielegalnie pozyskać cenne dane – komentuje specjalista Sophos.
Jego zdaniem do skutecznej walki z cyberprzestępczością konieczne są zarówno inwestycje w umiejętności i liczebność cyberpolicjantów, jak również edukacja przedstawicieli sądów. Tylko w ten sposób operacje mające na celu rozbicie grup hakerskich „od środka” będą mogły być zatwierdzane regularnie i częściej będą kończyć się sukcesem.
Służby wysyłają hakerom jasny sygnał:
Międzynarodowe działania na rzecz zamknięcia strony internetowej grupy LockBit należy traktować jako częściowy sukces. Służbom nie udało się bowiem całkowicie wyłączyć sieci należącej do cyberprzestępców, w tym witryny, na której umieszczono wykradzione ofiarom hakerów treści w odwecie za niezapłacone okupy. Mimo to przestępcom został wysłany jasny sygnał: jesteśmy wśród was i widzimy, co robicie.
– Od pewnego czasu obserwujemy, że gangi ransomware zachowują się paranoicznie i mają przeświadczenie, że w ich struktury mogli wniknąć przedstawiciele służb. Już samo takie myślenie może sprawić, że ze współpracy z grupami cyberprzestępczymi zrezygnują potencjalni partnerzy – podkreśla Chester Wisniewski. – Zwiększa to koszty prowadzenia przez nich działalności, co oczywiście działa na naszą korzyść. To najlepszy dowód na to, że presja naprawdę ma sens i że w walce z hakerami warto korzystać z wszystkich dostępnych narzędzi – podsumowuje.
