Tvrdí to společnost Kaspersky, která tuto skupinu dlouhodobě sleduje. „DarkSide funguje tak, že tvoří a prodává nástroje určené na ransomwere pro své zákazníky (říká jim partneři), kteří si kupují přístup do různých organizací od hackerů, aby do nich produkt od DarkSide nasadili. DarkSide vytváří nástroje jak pro Windows, tak Linux. Po zakódování dat organizace je možné je odemknout pouze jedním konkrétním klíčem, poskytnutým za výkupné," říká Vladimir Kuskov, vedoucí oddělení průzkumu hrozeb ve společnosti Kaspersky a dodává "DarkSide patří mezi nechvalně proslulé kyberkriminální skupiny, jejichž hlavním cílem je dosáhnout co největšího finančního zisku. Narozdíl od jiných gangů o sobě prohlašuje DarkSide, že se řídí určitým kodexem - neútočí na nemocnice, vládní organizace a neziskovky. Proto se zdá, že se jim poslední útok na Colonial Pipeline vymknul z ruky a nečekali tak vážné důsledky. Následně vydali prohlášení, že budou ode dneška postupovat s větší opatrností, aby se vyhnuli takto vážným společenským dopadům.

Jde o promyšlený vyděračský průmysl

Podle Kaspersky se skupiny typu DarkSide stávají středem zájmu médií, ale přitom odvádějí pozornost od skutečné složitosti ekosystému ransomwaru. Analytici Kaspersky se dlouhodobě zabývají informacemi z diskusních fór na darknetu, podrobně zkoumají činnost gangů REvil a Babuk a dalších a odhalují některé z mýtů, které o ransomware kolují. Ekosystém ransomware podle jejich zjištění zahrnuje mnoho hráčů, kteří mají nejrůznější role. Přestože jsou mnozí přesvědčeni, že ransomware gangy mají podobu uzavřených skupin, ve skutečnosti jde o spoustu různých aktérů – vývojářů, botmasterů, prodejců přístupových údajů, operátorů ransomware – kteří si vzájemně poskytují služby prostřednictvím tržišť na dark webu.

Tito aktéři se kontaktují na specializovaných fórech na darknetu, kde lze najít pravidelně aktualizované nabídky služeb a partnerství. Velcí prominentní hráči, kteří hrají sami za sebe, tyto servery nenavštěvují, ale i dost známé skupiny, jako REvil, které v uplynulých několika čtvrtletích ve zvýšené míře cílily na různé organizace, pravidelně zveřejňují novinky a své nabídky formou společných programů. Tento způsob spolupráce předpokládá vytvoření partnerství mezi skupinou operátora ransomware a společníkem, přičemž operátor ransomware si vezme podíl na zisku od 20 do 40 % a zbývajících 60 až 80 % zůstane společníkovi.

Obr. 2: REvil zveřejňuje nabídku nových kapacit a možností, jak organizovat hovory s prostředníky a partnery atakovaných organizací s cílem vytvářet větší tlak na vyplacení výkupného

Obr. 3: Příklady nabídek uvádějících platební podmínky předložené jako partnerské programy

Výběr případných partnerů je velmi pečlivě promyšlený proces, jehož základní pravidla nastavují operátoři ransomware od samého začátku – včetně geografických omezení, a dokonce politického zaměření. A stejně tak se oběti ransomware útoků vybírají cíleně.

Ransomware jako služba

Jelikož lidé, kteří napadají organizace, a ti, kdo ve skutečnosti provozují ransomware, jsou rozdílné skupiny a obě jsou vytvořené především za účelem dosažení zisku, jsou proto nejčastěji napadány organizace z oblasti „lehce dosažitelných cílů“. V podstatě jde o ty, k nimž útočníci získají přístup nejsnadněji. Proto to pak můžou být jak aktéři, kteří fungují v rámci partnerských programů, tak nezávislí operátoři, kteří následně prodávají přístupová data ve formě aukcí nebo za paušální poplatek, jehož cena může začínat na pouhých 50 dolarů. Tito útočníci jsou ve většině případů majitelé botnetů, kteří se podílejí na masivních kampaních se širokým dosahem a prodávají přístupové údaje k počítačům obětí ve velkých objemech. Rovněž oslovují prodejce s cílem zjistit veřejně dostupné zranitelnosti softwarů chránících přístup na internet, například VPN zařízení a služby nebo e-mailové portály, které by mohli využít pro infiltraci do napadených organizací.

Obr. 4: Příklad nabídky prodeje přístupových dat přes proprietární síťový protokol organizace (RDP, Remote Desktop Protocol)

Na fórech s ransomware však lze nalézt i různé další typy nabídek. Někteří operátoři ransomware prodávají vzorky škodlivých kódů (malware) a stavební bloky ransomware v ceně od 300 do 4 000 dolarů, jiní nabízejí Ransomware-as-a-Service (ransomware jako službu) – čili prodávají ransomware s průběžnou podporou od jeho vývojářů, přičemž tyto balíčky můžou stát od 120 dolarů za měsíc po 11 900 dolarů za rok.

Útočníci neradi řeší problémy

„Ekosystém ransomware je složitý a v sázce je mnoho zájmů. Jedná se o stále se proměňující trh s mnoha hráči – někteří se zaměřují na příležitostné cíle, jiní jsou velmi profesionální a používají vyspělé metody. Nevybírají si konkrétní cíle, můžou napadat jakékoli organizace, velké podniky nebo malé firmy, hlavně když k nim získají přístup. A navíc – jejich dílu se daří stále víc a to se v brzké době nezmění,“ říká Dmitry Galov, expert na bezpečnost ve společnosti Kaspersky. „Dobrou zprávou je zjištění, že i celkem jednoduchá bezpečnostní opatření můžou útočníky od napadení dané organizace odradit, takže standardní postupy, jakými jsou pravidelné aktualizace softwaru a zálohy oddělené od hlavního systému, skutečně pomáhají a to je jen to nejmenší, co firmy pro svou ochranu můžou udělat.“

Základní opatření proti útokům ransomwaru:

• Zajistěte, aby software na všech zařízeních, která používáte, byl vždy aktualizovaný, aby útočníci nemohli proniknout do vaší sítě skrze její zranitelná místa.
• Věnujte zvýšenou pozornost sledování odchozích dat, což může odhalit napojení na kybernetické zločince. Pořiďte si zálohy dat tak, aby byly odpojené od internetu a útočníci s nimi pak nemohli manipulovat. A zajistěte, aby tyto zálohy byly pro případ nouze rychle dostupné, když je budete potřebovat.
• Aktivujte ochranu proti ransomware na všech koncových bodech.
• Nainstalujte si řešení na ochranu před pokročilými trvalými hrozbami (APT) a využijte EDR, které vám poskytne možnosti, jak odhalit a detekovat vyspělé hrozby a včas reagovat na incidenty.
• Věnujte se proškolení uživatelů v oblasti kybernetické bezpečnosti. Uživatelé jsou často nejslabším článkem kybernetické bezpečnosti. Pravidelně jejich znalosti vylepšujte formou profesionálních školení.