Kybernetické podsvětí prochází dramatickou proměnou. Tradiční „uličky hanby“, kde kyberzločinci dříve diskrétně obchodovali s ukradenými daty, nahrazují veřejné „stránky hanby“. Tento nový trend, který odhalil nejnovější výzkum společnosti Check Point Software Technologies, ukazuje, jak ransomwarové skupiny eskalují své taktiky vydírání.
V čele této znepokojivé transformace stojí skupina RansomHub, která se v červnu 2024 stala nejaktivnější ransomwarovou skupinou na světě. RansomHub, který se objevil teprve v únoru téhož roku, rychle vystoupal na vrchol kyberkriminálního ekosystému. Tento nováček v oboru „ransomware jako služba“ (RaaS) zaznamenal v červnu prudký nárůst aktivity s téměř 80 novými oběťmi.
Vzestup RansomHubu je částečně důsledkem úpadku dříve dominantní skupiny LockBit3. Ta utrpěla vážnou ránu při policejní operaci v únoru, což vedlo k dramatickému poklesu jejich aktivit. V dubnu zaznamenala skupina LockBit3 pouhých 27 obětí, což je rekordně nízké číslo. Ačkoli v květnu došlo k dočasnému oživení s více než 170 oběťmi, červnový pokles pod 20 obětí naznačuje možný konec éry této nechvalně známé skupiny.
Peter Kovalčík, regionální ředitel společnosti Check Point Software Technologies, k tomu poznamenává: „Zdá se, že akce proti gangu LockBit3 se postupně projevují a mají výrazný dopad na fungování skupiny. Nicméně jeho ústup otevírá cestu dalším skupinám, které se snaží obsadit trůn a ještě zintenzivnit své vyděračské kampaně.“
Nejaktivnější je RansomHub
RansomHub, údajně reinkarnace dřívějšího ransomwaru Knight, se rychle přizpůsobil měnícímu se prostředí. Skupina je známá svými agresivními kampaněmi zaměřenými na širokou škálu systémů, včetně Windows, macOS, Linux a zejména prostředí VMware ESXi. Jejich sofistikované šifrovací metody představují významnou hrozbu pro organizace po celém světě.
Vedle RansomHubu se na scéně prosazují i další skupiny. Play, zodpovědná za 8 % zveřejněných ransomwarových útoků v červnu, a Akira s 5 % útoků, doplňují trojici nejaktivnějších ransomwarových skupin. Tyto skupiny využívají různé techniky, od napadání účtů přes zneužívání zranitelností až po sofistikované šifrovací metody.
Trend veřejného vydírání prostřednictvím „stránek hanby“ představuje novou úroveň psychologického nátlaku na oběti. Tyto stránky slouží jako platformy, kde ransomwarové skupiny zveřejňují ukradená data a informace o svých obětech, čímž je nutí k rychlému zaplacení výkupného pod hrozbou dalšího zveřejnění citlivých informací.
Tomáš Růžička, SE Team Leader společnosti Check Point Software Technologies, upozorňuje na měnící se podobu hrozeb v České republice: „V červnu jsme zaznamenali významné změny v typech malwaru útočících na české podniky. Dlouhodobě dominantní backdoor Jorik oslabil, zatímco botnet Androxgh0st a modulární trojan BMANAGER posílily. Znepokojivý je také vzestup mobilního malwaru Joker, který ohrožuje zařízení se systémem Android.“
Jak se bránit?
Organizace musí být připraveny nejen na technické aspekty útoků, ale i na psychologické strategie používané kyberzločinci. S rostoucí sofistikovaností ransomwarových skupin a jejich taktik veřejného vydírání je více než kdy jindy důležité investovat do robustních bezpečnostních opatření, pravidelných aktualizací systémů a školení zaměstnanců.
Jak se kybernetické podsvětí dále vyvíjí, můžeme očekávat, že různé formy vydírání budou hrát stále významnější roli v arsenálu kyberzločinců. Pro organizace to znamená, že musí být nejen technicky připravené na útoky, ale také schopné rychle a efektivně reagovat na potenciální reputační škody spojené s veřejným vydíráním.
Zdroj: TZ Check Point