Myslíte si, že kyberzločinci mezi sebou jen soupeří? Omyl. Nová analýza společnosti ESET odhalila nečekané propojení mezi konkurenčními ransomwarovými gangy. RansomHub, Play, Medusa a BianLian – tyto čtyři gangy spolu tajně spolupracují. Klíčem k tomuto odhalení se stal specializovaný nástroj EDRKillShifter, který slouží k vypínání bezpečnostních technologií.

Když loni orgány činné v trestním řízení v rámci mezinárodní operace Cronos zasáhly proti gangu LockBit, mnoho expertů si oddechlo. Jejich radost však netrvala dlouho. Na scénu vstoupil nový gang – RansomHub.

„V celosvětovém boji proti ransomwaru jsme mohli v roce 2024 sledovat dosažení dvou milníků: Dva dříve největší ransomwarové gangy, LockBit a BlackCat, zmizely ze scény. A poprvé od roku 2022 jsme zaznamenali, že finanční náklady spojené s útoky ransomwarem výrazně klesly, a to o 35 procent, což je v tomto kontextu ohromující číslo,“ vysvětluje Jakub Souček, vedoucí pražského výzkumného týmu společnosti ESET.

Podvodníci jsou často ze zahraničí. Ke komunikaci využívají překladače. Foto: Freepik

Zdá se to jako dobrá zpráva, jenže problém se jen transformoval. „Na druhou stranu ale podle webových stránek, které veřejně publikují informace o útocích a únicích dat, vzrostl zaznamenaný počet obětí přibližně o 15 procent,“ dodává Souček.

Ransomware jako služba

RansomHub operuje na principu tzv. ransomware-as-a-service (RaaS). Co to znamená v praxi? Jde o složitý ekosystém tří typů aktérů:

• Operátoři – autoři ransomwaru, kteří vyvíjejí škodlivý kód
• Partneři – útočníci, kteří si kód pronajímají a provádějí samotné útoky
• Infiltrátoři – zajišťují přístup k lukrativním cílům

RansomHub přitom využívá neobvyklý obchodní model. Svým partnerům slibuje, že si mohou ponechat až 90 % vyplaceného výkupného. Pouze 10 % musí odeslat operátorům. Taková důvěra je v temném světě kyberzločinu skoro nevídaná.

Tato skupina se objevila začátkem února 2024. První inzerát zveřejnila na rusky mluvícím fóru RAMP. O pouhých osm dní později už útočníci hlásili první úspěšné útoky.

EDRKillShifter – nástroj pro obcházení bezpečnostních řešení

V květnu 2024 RansomHub výrazně vylepšil svůj arzenál. Vyvinul vlastní nástroj EDRKillShifter, který umí vypnout bezpečnostní technologie EDR (Detekce a reakce na hrozby pro koncová zařízení).

„Rozhodnutí implementovat takovou technologii a nabídnout ji partnerům jako součást programu RaaS je vzácné. Partneři musí obvykle sami najít způsoby, jak bezpečnostní řešení obejít,“ říká Souček. „Někteří používají již existující nástroje, zatímco více technicky zaměření útočníci si takové nástroje dále upravují pro vlastní potřeby.“

Gangy využívají sofistikované nástroje. Foto: Freepik

Právě sledováním použití tohoto nástroje bezpečnostní experti ESET odhalili překvapivé propojení mezi čtyřmi ransomwarovými gangy. Výzkum prokázal, že někteří partneři RansomHubu současně pracují i pro konkurenční gangy Play, Medusa a BianLian.

Spojení překvapilo i experty

Spolupráce mezi RansomHub a Medusa není tak překvapivá – partneři v ransomwarovém světě často pracují pro více operátorů současně. Co ale zarazilo i zkušené bezpečnostní analytiky, bylo propojení s gangy Play a BianLian.

Tyto dvě skupiny jsou známé svou uzavřeností a výběrem spolupracovníků. Jak se tedy dostaly k nástroji EDRKillShifter, který vyvinul RansomHub? Existují dvě možná vysvětlení:

1. Najaly si stejného partnera jako RansomHub (méně pravděpodobné)
2. Někteří členové těchto gangů tajně spolupracují s RansomHub a sdílejí jeho nástroje

Ransomwarový gang Play je navíc spojovaný se skupinou Andariel, která má vazby na Severní Koreu. Tímto se celá síť propojení ještě více komplikuje.

Co to znamená pro firmy a instituce?

Dynamicky se proměňující ransomwarové prostředí představuje velkou výzvu pro organizace po celém světě. Zvlášť ohrožené jsou subjekty patřící do kritické infrastruktury.

Foto: Se souhlasem ESET

„Reakci na rostoucí hrozbu lze vidět i v legislativní oblasti, kde v České republice na boj s touto hrozbou klade důraz například i nový Zákon o kybernetické bezpečnosti,“ upozorňuje Souček z ESETu.

Pro firmy a instituce je klíčové udržovat své bezpečnostní systémy aktualizované. Zvláštní pozornost by měly věnovat technologiím EDR, které jsou primárním cílem nástrojů jako EDRKillShifter.

Omezení útoků

Zajímavostí je, že RansomHub – stejně jako mnoho jiných ransomwarových gangů – zakazuje svým partnerům útočit na určité země. Konkrétně jde o postsovětské státy Společenství nezávislých států, Kubu, Severní Koreu a Čínu.

Tyto omezení naznačují, odkud útočníci pravděpodobně pocházejí nebo kde mají své základny. Západní země a jejich spojenci, včetně České republiky, jsou naopak v přímém ohrožení.

Zdroj: TZ ESET