Jak fungují kyberzločinci? Odborníci rozkryli fungování ruské skupiny hackerů

Hackeři napadají kritickou infrastrukturu států včetně nemocnic. Ruská ransomwarová skupina Conti napadá kritickou infrastrukturu i zdravotnictví, její zaměstnanci ale často neví, že pracují pro kyberzločince. Skupina Conti má řadu poboček a kanceláří, hlavní centrála je v Rusku. Personální tým Conti nabízí prémie, vyhlašuje zaměstnance měsíce a také trestá pokutami. Jak jedna z nejznámějších skupin kyberpodsvětí?

Výzkumný tým společnosti Check Point, předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil detaily o struktuře a fungování známé ruské ransomwarové skupiny Conti. Conti funguje jako klasická high-tech společnost s jasnou řídící, finanční i personální strukturou. Conti nabírá zaměstnance z legálních i nelegálních zdrojů, někteří dokonce netuší, že jsou součástí kyberzločineckých operací. Skupina také zvažuje plány na spuštění krypto burzy a darknetové sociální sítě.

Conti je RaaS (ransomware-as-a-service) skupina, která nabízí pronajmutí své infrastruktury dalším útočníkům. Hlavní sídlo má v Rusku a může mít vazby na ruské zpravodajské služby. Na svědomí má ransomwarové útoky na desítky organizací, včetně kritické infrastruktury a zdravotnictví. Jak skupina kyberzločinců funguje? Možná budete překvapeni.

Jak probíhají ransomwarové útoky? V případě ransomwarového útoku dojde k zašifrování dat a ochromení napadené společnosti, za dešifrování je požadováno často velmi vysoké výkupné. Útoky navíc doprovází i další vyděračské techniky, aby se zvýšil tlak na zaplacení výkupného. Útočníci například hrozí zveřejněním ukradených dat nebo poskytnutí citlivých informací médiím.

Obrázek: Jak fungují kyberzločinci? Odborníci rozkryli fungování ruské skupiny hackerů

Skupiny hackerů jsou často decentralizované a jejich členové se navzájem nesetkávají. Jak dokazují zjištění ohledně ruské skupiny Conti, neplatí to vždy. Foto: Pixabay

Hackeři s kancelářemi a měsíčními bonusy

Conti funguje jako klasická technologická společnost, má personální oddělení, procesy na nábory zaměstnanců, kancelářské prostory, platy i měsíční bonusy. Skupina má jasně definovanou strukturu a hierarchii, včetně vedoucí pracovníků a specializovaných skupin (HR, programátoři, testeři, šifranti, admini, reverzní inženýři, ofenzivní tým, OSINT specialisté a pracovníci pro vyjednávání s napadenými organizacemi). Identifikováno bylo i několik klíčových osob zodpovědných za vedení skupiny.

Ransomwarová skupina Conti má podle odborníků z Check Point několik kanceláří. Během roku 2020 využívali kanceláře především testeři, ofenzivní týmy a vyjednavači. Minimálně 2 kanceláře jsou určené pro operátory, kteří komunikují s napadenými společnostmi. V srpnu 2020 byla otevřena další kancelář pro systémové administrátory a programátory, kteří vyvíjí technologie pro infikování obětí.

Výplaty, prémie, pokuty i zaměstnanci měsíce

Jak ukazují zjištění společnosti Check Point, členové vyjednávacího týmu (včetně OSINT specialistů) jsou placeni z provizí vypočítaných ze zaplaceného výkupného. Obvykle se jedná 0,5 % až 1 % ze zaplacené částky, která se může pohybovat v milionech a někdy i desítkách milionů dolarů. Kodéři a někteří manažeři dostávají plat v Bitcoinech a platba probíhá jednou nebo dvakrát měsíčně.

Zaměstnanci jsou ale pokutováni například za nedostatečné výkony. Pokuty jsou většinou používány v oddělení programátorů, ale k trestům dochází i v jiných odděleních, jako IT nebo DevOps, kde osoba odpovědná za ukládání peněz dostala pokutu 100 dolarů za zmeškanou platbu.

Obrázek: Jak fungují kyberzločinci? Odborníci rozkryli fungování ruské skupiny hackerů

Organizovaná skupina kybernetických zločinců může vypadat třeba takto. Foto: Freepik

Legální i nelegální nábory zaměstnanců

Personální oddělení Conti obvykle k náboru nových zaměstnanců používá ruské headhuntingové služby, jako je headhunter.ru. V menší míře potom další stránky, jako je superjobs.ru. Přísně zakázáno je naopak hledat tímto způsobem vývojáře. Pro nábor vývojářů Conti využívá životopisy z headhunter.ru a oslovuje potenciální kandidáty napřímo e-mailem. Headhunter.ru takovou službu samozřejmě nenabízí a Conti si seznamy krade, což je ve světě kyberkriminality zřejmě běžná praxe.

Někteří zaměstnanci neví, že jsou součástí kyberzločinecké organizace

Podle zveřejněných informací lidé často nevědí, že pracují pro kriminálníky. Při jednom online pohovoru řekl manažer potenciálnímu zájemci o práci programátora, že vše je anonymní a hlavním cílem je vytváření softwaru pro pentestery.

V jiném případě si programátor údajně myslel, že pracuje na systému pro analýzu reklam, ale ve skutečnosti pracoval na malwaru Trickbot, který patří mezi nejrozšířenější a nejnebezpečnější kybernetické hrozby.

Obrázek: Jak fungují kyberzločinci? Odborníci rozkryli fungování ruské skupiny hackerů

Zajímavá nabídka práce se může proměnit v kriminální činnost. Foto: Pixabay

Plány do budoucna, kryptoměnová burza a darknetová sociální síť

Conti jako správná organizace aktivně přemýšlí nad budoucností a jedním z nápadů je vytvoření krypto burzy. Dalším projektem je „darknetová sociální síť“. Jednalo by se o komerční projekt a už v červenci 2021 vytvořili designeři skupiny několik návrhů.

Poprvé jsou k dispozici detailní informace o fungování tak významné ransomwarové skupiny. Conti se chová jako high-tech společnost se stovkami zaměstnanců a tradiční strukturou a hierarchií. Je zarážející, že ne všichni zaměstnanci si plně uvědomují, že jsou součástí kyberzločinecké skupiny. Někteří si například myslí, že pracují pro reklamní společnost. Řada zaměstnanců, kteří se následně dozví pravdu, přesto zůstane. Ukazuje se, jak dobře skupina funguje a dokáže udržet lidi, i když zjistí, že jsou na straně zločinu,“ říká Petr Kadrmas, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.

Zdroj: Check Point

Odebírat
Upozornit na
guest
0 Komentářů
Inline Feedbacks
View all comments
Obrázek: Ruská divize Googlu zbankrotovala, přístup ke službám neodstřihne
Ruská divize Googlu zbankrotovala, přístup ke službám neodstřihne
Obrázek: Průzkum: Ransomware stále největší hrozbou, Češi platí výkupné častěji
Průzkum: Ransomware stále největší hrozbou, Češi platí výkupné častěji
Obrázek: Počítač poháněný fotosyntézou?
Počítač poháněný fotosyntézou?
Obrázek: Kurýři přijdou o práci: Uber Eats testuje autonomní roboty a auta bez řidičů
Kurýři přijdou o práci: Uber Eats testuje autonomní roboty a auta bez řidičů
Obrázek: Dost bylo vibrací a stresujících vyzvánění. Google zkouší stíny, pohyb i vítr
Dost bylo vibrací a stresujících vyzvánění. Google zkouší stíny, pohyb i vítr
Obrázek: Nový podvod útočí na české telefony s Androidem! Vydává se za zmeškanou hlasovou zprávu
Nový podvod útočí na české telefony s Androidem! Vydává se za zmeškanou hlasovou zprávu
Obrázek: 5 chyb, kterým se vyvarovat při nákupu chytrého telefonu
5 chyb, kterým se vyvarovat při nákupu chytrého telefonu
Obrázek: Prohlížeč v prohlížeči: Na promyšlený internetový útok naletí i zkušení IT experti
Prohlížeč v prohlížeči: Na promyšlený internetový útok naletí i zkušení IT experti