Jak fungují kyberzločinci? Odborníci rozkryli fungování ruské skupiny hackerů

Hackeři napadají kritickou infrastrukturu států včetně nemocnic. Ruská ransomwarová skupina Conti napadá kritickou infrastrukturu i zdravotnictví, její zaměstnanci ale často neví, že pracují pro kyberzločince. Skupina Conti má řadu poboček a kanceláří, hlavní centrála je v Rusku. Personální tým Conti nabízí prémie, vyhlašuje zaměstnance měsíce a také trestá pokutami. Jak jedna z nejznámějších skupin kyberpodsvětí?

Výzkumný tým společnosti Check Point, předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil detaily o struktuře a fungování známé ruské ransomwarové skupiny Conti. Conti funguje jako klasická high-tech společnost s jasnou řídící, finanční i personální strukturou. Conti nabírá zaměstnance z legálních i nelegálních zdrojů, někteří dokonce netuší, že jsou součástí kyberzločineckých operací. Skupina také zvažuje plány na spuštění krypto burzy a darknetové sociální sítě.

Conti je RaaS (ransomware-as-a-service) skupina, která nabízí pronajmutí své infrastruktury dalším útočníkům. Hlavní sídlo má v Rusku a může mít vazby na ruské zpravodajské služby. Na svědomí má ransomwarové útoky na desítky organizací, včetně kritické infrastruktury a zdravotnictví. Jak skupina kyberzločinců funguje? Možná budete překvapeni.

Jak probíhají ransomwarové útoky? V případě ransomwarového útoku dojde k zašifrování dat a ochromení napadené společnosti, za dešifrování je požadováno často velmi vysoké výkupné. Útoky navíc doprovází i další vyděračské techniky, aby se zvýšil tlak na zaplacení výkupného. Útočníci například hrozí zveřejněním ukradených dat nebo poskytnutí citlivých informací médiím.

Obrázek: Jak fungují kyberzločinci? Odborníci rozkryli fungování ruské skupiny hackerů

Skupiny hackerů jsou často decentralizované a jejich členové se navzájem nesetkávají. Jak dokazují zjištění ohledně ruské skupiny Conti, neplatí to vždy. Foto: Pixabay

Hackeři s kancelářemi a měsíčními bonusy

Conti funguje jako klasická technologická společnost, má personální oddělení, procesy na nábory zaměstnanců, kancelářské prostory, platy i měsíční bonusy. Skupina má jasně definovanou strukturu a hierarchii, včetně vedoucí pracovníků a specializovaných skupin (HR, programátoři, testeři, šifranti, admini, reverzní inženýři, ofenzivní tým, OSINT specialisté a pracovníci pro vyjednávání s napadenými organizacemi). Identifikováno bylo i několik klíčových osob zodpovědných za vedení skupiny.

Ransomwarová skupina Conti má podle odborníků z Check Point několik kanceláří. Během roku 2020 využívali kanceláře především testeři, ofenzivní týmy a vyjednavači. Minimálně 2 kanceláře jsou určené pro operátory, kteří komunikují s napadenými společnostmi. V srpnu 2020 byla otevřena další kancelář pro systémové administrátory a programátory, kteří vyvíjí technologie pro infikování obětí.

Výplaty, prémie, pokuty i zaměstnanci měsíce

Jak ukazují zjištění společnosti Check Point, členové vyjednávacího týmu (včetně OSINT specialistů) jsou placeni z provizí vypočítaných ze zaplaceného výkupného. Obvykle se jedná 0,5 % až 1 % ze zaplacené částky, která se může pohybovat v milionech a někdy i desítkách milionů dolarů. Kodéři a někteří manažeři dostávají plat v Bitcoinech a platba probíhá jednou nebo dvakrát měsíčně.

Zaměstnanci jsou ale pokutováni například za nedostatečné výkony. Pokuty jsou většinou používány v oddělení programátorů, ale k trestům dochází i v jiných odděleních, jako IT nebo DevOps, kde osoba odpovědná za ukládání peněz dostala pokutu 100 dolarů za zmeškanou platbu.

Obrázek: Jak fungují kyberzločinci? Odborníci rozkryli fungování ruské skupiny hackerů

Organizovaná skupina kybernetických zločinců může vypadat třeba takto. Foto: Freepik

Legální i nelegální nábory zaměstnanců

Personální oddělení Conti obvykle k náboru nových zaměstnanců používá ruské headhuntingové služby, jako je headhunter.ru. V menší míře potom další stránky, jako je superjobs.ru. Přísně zakázáno je naopak hledat tímto způsobem vývojáře. Pro nábor vývojářů Conti využívá životopisy z headhunter.ru a oslovuje potenciální kandidáty napřímo e-mailem. Headhunter.ru takovou službu samozřejmě nenabízí a Conti si seznamy krade, což je ve světě kyberkriminality zřejmě běžná praxe.

Někteří zaměstnanci neví, že jsou součástí kyberzločinecké organizace

Podle zveřejněných informací lidé často nevědí, že pracují pro kriminálníky. Při jednom online pohovoru řekl manažer potenciálnímu zájemci o práci programátora, že vše je anonymní a hlavním cílem je vytváření softwaru pro pentestery.

V jiném případě si programátor údajně myslel, že pracuje na systému pro analýzu reklam, ale ve skutečnosti pracoval na malwaru Trickbot, který patří mezi nejrozšířenější a nejnebezpečnější kybernetické hrozby.

Obrázek: Jak fungují kyberzločinci? Odborníci rozkryli fungování ruské skupiny hackerů

Zajímavá nabídka práce se může proměnit v kriminální činnost. Foto: Pixabay

Plány do budoucna, kryptoměnová burza a darknetová sociální síť

Conti jako správná organizace aktivně přemýšlí nad budoucností a jedním z nápadů je vytvoření krypto burzy. Dalším projektem je „darknetová sociální síť“. Jednalo by se o komerční projekt a už v červenci 2021 vytvořili designeři skupiny několik návrhů.

Poprvé jsou k dispozici detailní informace o fungování tak významné ransomwarové skupiny. Conti se chová jako high-tech společnost se stovkami zaměstnanců a tradiční strukturou a hierarchií. Je zarážející, že ne všichni zaměstnanci si plně uvědomují, že jsou součástí kyberzločinecké skupiny. Někteří si například myslí, že pracují pro reklamní společnost. Řada zaměstnanců, kteří se následně dozví pravdu, přesto zůstane. Ukazuje se, jak dobře skupina funguje a dokáže udržet lidi, i když zjistí, že jsou na straně zločinu,“ říká Petr Kadrmas, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.

Zdroj: Check Point

Obrázek: Nejlepší telefony v Česku: Jaký vybrat, pokud chcete to nejlepší?
Nejlepší telefony v Česku: Jaký vybrat, pokud chcete to nejlepší?
Obrázek: Štve vás umístění tlačítka Start ve Windows 11 na střed? Takto to můžete napravit
Štve vás umístění tlačítka Start ve Windows 11 na střed? Takto to můžete napravit
Obrázek: Recenze IQOS ILUMA i PRIME: Smartphone mezi nahřívanými tabákovými výrobky
Recenze IQOS ILUMA i PRIME: Smartphone mezi nahřívanými tabákovými výrobky
Obrázek: Konec jedné éry: Muskova společnost SpaceX se připravuje na likvidaci Mezinárodní vesmírné stanice
Konec jedné éry: Muskova společnost SpaceX se připravuje na likvidaci Mezinárodní vesmírné stanice
Obrázek: Štve vás umístění tlačítka Start ve Windows 11 na střed? Takto to můžete napravit
Štve vás umístění tlačítka Start ve Windows 11 na střed? Takto to můžete napravit
Obrázek: Jak vytěžit z Black Friday nabídky Samsungu co největší slevu? Poradíme, jak fungují výkupy a cashback
Jak vytěžit z Black Friday nabídky Samsungu co největší slevu? Poradíme, jak fungují výkupy a cashback
Obrázek: Black Friday letos odstartoval extrémně brzy: Jak si ověřit, že je sleva skutečná?
Black Friday letos odstartoval extrémně brzy: Jak si ověřit, že je sleva skutečná?
Obrázek: Jak vyfotit kometu mobilem? 5 tipů, jak dosáhnout skvělých výsledků
Jak vyfotit kometu mobilem? 5 tipů, jak dosáhnout skvělých výsledků