Jak fungují kyberzločinci? Odborníci rozkryli fungování ruské skupiny hackerů

Hackeři napadají kritickou infrastrukturu států včetně nemocnic. Ruská ransomwarová skupina Conti napadá kritickou infrastrukturu i zdravotnictví, její zaměstnanci ale často neví, že pracují pro kyberzločince. Skupina Conti má řadu poboček a kanceláří, hlavní centrála je v Rusku. Personální tým Conti nabízí prémie, vyhlašuje zaměstnance měsíce a také trestá pokutami. Jak jedna z nejznámějších skupin kyberpodsvětí?

Výzkumný tým společnosti Check Point, předního světového poskytovatele kyberbezpečnostních řešení, zveřejnil detaily o struktuře a fungování známé ruské ransomwarové skupiny Conti. Conti funguje jako klasická high-tech společnost s jasnou řídící, finanční i personální strukturou. Conti nabírá zaměstnance z legálních i nelegálních zdrojů, někteří dokonce netuší, že jsou součástí kyberzločineckých operací. Skupina také zvažuje plány na spuštění krypto burzy a darknetové sociální sítě.

Conti je RaaS (ransomware-as-a-service) skupina, která nabízí pronajmutí své infrastruktury dalším útočníkům. Hlavní sídlo má v Rusku a může mít vazby na ruské zpravodajské služby. Na svědomí má ransomwarové útoky na desítky organizací, včetně kritické infrastruktury a zdravotnictví. Jak skupina kyberzločinců funguje? Možná budete překvapeni.

Jak probíhají ransomwarové útoky? V případě ransomwarového útoku dojde k zašifrování dat a ochromení napadené společnosti, za dešifrování je požadováno často velmi vysoké výkupné. Útoky navíc doprovází i další vyděračské techniky, aby se zvýšil tlak na zaplacení výkupného. Útočníci například hrozí zveřejněním ukradených dat nebo poskytnutí citlivých informací médiím.

Obrázek: Jak fungují kyberzločinci? Odborníci rozkryli fungování ruské skupiny hackerů

Skupiny hackerů jsou často decentralizované a jejich členové se navzájem nesetkávají. Jak dokazují zjištění ohledně ruské skupiny Conti, neplatí to vždy. Foto: Pixabay

Hackeři s kancelářemi a měsíčními bonusy

Conti funguje jako klasická technologická společnost, má personální oddělení, procesy na nábory zaměstnanců, kancelářské prostory, platy i měsíční bonusy. Skupina má jasně definovanou strukturu a hierarchii, včetně vedoucí pracovníků a specializovaných skupin (HR, programátoři, testeři, šifranti, admini, reverzní inženýři, ofenzivní tým, OSINT specialisté a pracovníci pro vyjednávání s napadenými organizacemi). Identifikováno bylo i několik klíčových osob zodpovědných za vedení skupiny.

Ransomwarová skupina Conti má podle odborníků z Check Point několik kanceláří. Během roku 2020 využívali kanceláře především testeři, ofenzivní týmy a vyjednavači. Minimálně 2 kanceláře jsou určené pro operátory, kteří komunikují s napadenými společnostmi. V srpnu 2020 byla otevřena další kancelář pro systémové administrátory a programátory, kteří vyvíjí technologie pro infikování obětí.

Výplaty, prémie, pokuty i zaměstnanci měsíce

Jak ukazují zjištění společnosti Check Point, členové vyjednávacího týmu (včetně OSINT specialistů) jsou placeni z provizí vypočítaných ze zaplaceného výkupného. Obvykle se jedná 0,5 % až 1 % ze zaplacené částky, která se může pohybovat v milionech a někdy i desítkách milionů dolarů. Kodéři a někteří manažeři dostávají plat v Bitcoinech a platba probíhá jednou nebo dvakrát měsíčně.

Zaměstnanci jsou ale pokutováni například za nedostatečné výkony. Pokuty jsou většinou používány v oddělení programátorů, ale k trestům dochází i v jiných odděleních, jako IT nebo DevOps, kde osoba odpovědná za ukládání peněz dostala pokutu 100 dolarů za zmeškanou platbu.

Obrázek: Jak fungují kyberzločinci? Odborníci rozkryli fungování ruské skupiny hackerů

Organizovaná skupina kybernetických zločinců může vypadat třeba takto. Foto: Freepik

Legální i nelegální nábory zaměstnanců

Personální oddělení Conti obvykle k náboru nových zaměstnanců používá ruské headhuntingové služby, jako je headhunter.ru. V menší míře potom další stránky, jako je superjobs.ru. Přísně zakázáno je naopak hledat tímto způsobem vývojáře. Pro nábor vývojářů Conti využívá životopisy z headhunter.ru a oslovuje potenciální kandidáty napřímo e-mailem. Headhunter.ru takovou službu samozřejmě nenabízí a Conti si seznamy krade, což je ve světě kyberkriminality zřejmě běžná praxe.

Někteří zaměstnanci neví, že jsou součástí kyberzločinecké organizace

Podle zveřejněných informací lidé často nevědí, že pracují pro kriminálníky. Při jednom online pohovoru řekl manažer potenciálnímu zájemci o práci programátora, že vše je anonymní a hlavním cílem je vytváření softwaru pro pentestery.

V jiném případě si programátor údajně myslel, že pracuje na systému pro analýzu reklam, ale ve skutečnosti pracoval na malwaru Trickbot, který patří mezi nejrozšířenější a nejnebezpečnější kybernetické hrozby.

Obrázek: Jak fungují kyberzločinci? Odborníci rozkryli fungování ruské skupiny hackerů

Zajímavá nabídka práce se může proměnit v kriminální činnost. Foto: Pixabay

Plány do budoucna, kryptoměnová burza a darknetová sociální síť

Conti jako správná organizace aktivně přemýšlí nad budoucností a jedním z nápadů je vytvoření krypto burzy. Dalším projektem je „darknetová sociální síť“. Jednalo by se o komerční projekt a už v červenci 2021 vytvořili designeři skupiny několik návrhů.

Poprvé jsou k dispozici detailní informace o fungování tak významné ransomwarové skupiny. Conti se chová jako high-tech společnost se stovkami zaměstnanců a tradiční strukturou a hierarchií. Je zarážející, že ne všichni zaměstnanci si plně uvědomují, že jsou součástí kyberzločinecké skupiny. Někteří si například myslí, že pracují pro reklamní společnost. Řada zaměstnanců, kteří se následně dozví pravdu, přesto zůstane. Ukazuje se, jak dobře skupina funguje a dokáže udržet lidi, i když zjistí, že jsou na straně zločinu,“ říká Petr Kadrmas, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.

Zdroj: Check Point

Odebírat
Upozornit na
guest
0 Komentářů
Inline Feedbacks
View all comments
Obrázek: Vyznáte se v USB? Nová označení mají vše zjednodušit
Vyznáte se v USB? Nová označení mají vše zjednodušit
Obrázek: Amazon představil první čtečku Kindle se stylusem a budík mapující spánek
Amazon představil první čtečku Kindle se stylusem a budík mapující spánek
Obrázek: Hledáte výkonný notebook pro kreativní vyžití? Řada Studio je špičkou v oboru
Hledáte výkonný notebook pro kreativní vyžití? Řada Studio je špičkou v oboru
Obrázek: Jak na škody způsobené umělou inteligencí? EU upraví legislativu
Jak na škody způsobené umělou inteligencí? EU upraví legislativu
Obrázek: Co je to spyware a jak se proti němu bránit?
Co je to spyware a jak se proti němu bránit?
Obrázek: BeReal: Jak funguje sociální síť bez přetvářky?
BeReal: Jak funguje sociální síť bez přetvářky?
Obrázek: Přečtěte si příchozí zprávu, aniž by to kdokoliv věděl
Přečtěte si příchozí zprávu, aniž by to kdokoliv věděl
Obrázek: Jak zmizet z internetu beze stopy?
Jak zmizet z internetu beze stopy?