Bezpečnostní experti ze společnosti Eset vydali novou analýzu o významných změnách v ekosystému ransomwarových gangů. Analýza se zaměřuje na nově vzniklý a aktuálně dominantní gang RansomHub, který funguje v modelu ransomware-as-a-service (RaaS).
„V celosvětovém boji proti ransomwaru jsme mohli v roce 2024 sledovat dosažení dvou milníků: Dva dříve největší ransomwarové gangy, LockBit a BlackCat, zmizely ze scény,“ vysvětluje Jakub Souček, vedoucí pražského výzkumného týmu společnosti Eset.
„A poprvé od roku 2022 jsme zaznamenali, že finanční náklady spojené s útoky ransomwarem výrazně klesly, a to o 35 procent, což je v tomto kontextu ohromující číslo. Na druhou stranu ale podle webových stránek, které veřejně publikují informace o útocích a únicích dat, vzrostl zaznamenaný počet obětí přibližně o 15 procent.“
Velkou část tohoto nárůstu má podle Jakuba Součka na svědomí právě RansomHub, nový gang fungující v modelu ransomware-as-a-service. Jedná se o model fungování útočníků v ekosystému operátorů (autorů) ransomwaru, partnerů, kteří si škodlivý kód pronajímají a útočí na vybrané cíle, a tzv. infiltrátorů, kteří zajistí partnerům přístup k lukrativním cílům.
Neotřelá taktika RansomHubu
„Gang RansomHub se objevil přibližně ve stejné době, kdy se orgánům činným v trestním řízení podařilo v mezinárodní operaci Cronos narušit aktivity gangu LockBit. Dynamicky se proměňující ransomwarové prostředí samozřejmě není dobrou zprávou pro firmy a instituce, které se této neustále přítomné hrozbě musí přizpůsobovat, zvlášť pokud spadají do oblasti kritické infrastruktury,“ dodává Souček.
Eset upozorňuje, že stejně jako jakýkoli jiný vznikající gang, i RansomHub potřeboval přilákat partnery, kteří si pronajmou služby ransomwaru od jeho operátorů. Počáteční inzerát útočníci zveřejnili na rusky mluvícím fóru RAMP začátkem února 2024, osm dní před zveřejněním prvních obětí.
Gang RansomHub podle expertů zakazuje provádět útoky na země postsovětského Společenství nezávislých států, Kubu, Severní Koreu nebo Čínu. Zajímavostí je také to, že gang láká partnery s příslibem, že si mohou ponechat ve svých peněženkách většinu platby (až 90 %) za výkupné od napadených obětí.
O zbylých 10 procent z výkupného se pak musí partneři podělit s operátory. Právě důvěra operátorů v partnery, že jim tuto částku skutečně pošlou, je podle Esetu v prostředí ransomwarových gangů unikátní.
Spolupráce s rivaly
Bezpečnostní experti z Esetu také zjistili, že partneři gangu RansomHub pracují pro tři další soupeřící gangy — Play, Medusa a BianLian. Odhalení spojení mezi gangy RansomHub a Medusa není překvapivé, protože je obecně známo, že partneři z ransomwarového prostředí často pracují pro více operátorů současně.
Na druhou stranu je ale nepravděpodobné, že by si gangy Play a BianLian najaly stejného partnera gangu RansomHub, a to kvůli uzavřené povaze těchto skupin útočníků. Je to ale jedno z možných vysvětlení, proč mají gangy Play a BianLian přístup ke škodlivému kódu EDRKillShifter.
Daleko pravděpodobnější je nicméně scénář, ve kterém důvěryhodní členové gangů Play a BianLian spolupracují s rivaly, dokonce i s nově vzniklými jako RansomHub, a pak používají jejich nástroje pro své vlastní útoky. Ransomwarový gang Play je také spojován se skupinou Andariel, která je napojena na Severní Koreu.
Jste reseller, VAR, poskytovatel služeb či systémový integrátor na českém/slovenském ICT trhu? Ohodnoťte, jak se vám spolupracovalo s výrobci a distributory!
Zdroj: Eset
