Z analýzy společnosti vyplývá, že 74 ransomwarových skupin v prvním čtvrtletí veřejně vydíralo 2289 obětí po celém světě, což je meziroční nárůst o 126 procent. Nejvíce vydíraných bylo podle společnosti z odvětví spotřebního zboží a služeb. Hackeři se ve velkém snaží vydírat i zdravotnická zařízení. Hlavně kvůli citlivosti dat a také tomu, že si tato zařízení nemohou dovolit výpadek služeb.

A útočníci je snadnou mohou vydírat ukradenými daty. "Oběti se tedy nově o incidentu často nedozvědí při samotném narušení bezpečnosti, ale až když útočníci zveřejní na vyděračských stránkách ukázku ukradených dat s žádostí o výkupné," uvádí společnost, která útoky vyděračů analyzuje. Nejde pouze o nemocnice. "Zveřejňují i důvěrná data o zákaznících, klientech pojišťoven či bank. Dělají to, pokud jim oběť odmítne zaplatit," říká bezpečnostní výzkumník Check Point Software Technologies Adi Bleih.

Kdo jsou zprostředkovatelé prvotního přístupu?

To jsou v podstatě naši kyberzločinci. Buď se do systému nabourávají, nebo fungují jako prostředníci, kteří nakupují samotné přístupy z různých trhů. Ale z velmi obecného hlediska jsou zprostředkovatelé prvotního přístupu kybernetičtí zločinci, kteří se specializují na získávání neoprávněného přístupu do různých typů sítí, systémů nebo účtů. Později je prodávají různým skupinám. Může jít o skupiny provozující ransomware, ale může jít také o státem sponzorované aktéry. Většinou se však setkáme s finančně motivovanými aktéry, kteří si přístup od těchto zprostředkovatelů počátečního přístupu kupují.

Jaká data tito počáteční zprostředkovatelé kradou?

Zprostředkovatelé data nekradou. Můžete si to představit tak, že jsou lidmi, kteří vám dávají klíče od zabezpečeného bytu. Neprovádí krádež, ale dají vám klíče od dveří, abyste do bytu mohl vstoupit. 

A jaká je obvyklá cena těchto "klíčů"?

Cena se mění v závislosti například na pověsti aktéra. Záleží i na fóru, kam ten inzerát dává. Ale obvykle se pohybuje mezi čtyřmi sty až deseti tisíci dolarů (tedy zhruba 11 tisíc až 220 tisíc korun). Někdy se dá najít i nabídka za půl milionu dolarů.

Zmínil jste aktéry hrozeb. Jde například o teroristické organizace?

Ne, k tomu mají velmi daleko. Tyto organizace většinou pocházejí ze zemí bývalého Sovětského svazu. Jde o ruské, ukrajinské, kazašské či uzbecké hackery. Všechny tyto příbuzné země mají spoustu zprostředkovatelů počátečního přístupu a aktérů hrozeb, kteří jsou obecně finančně motivováni. Mnoho útoků ale také pochází z míst, jako je Írán, Malajsie nebo Čína.

Hackeři ukradené přístupy prodávají na darknetových fórech. Povedlo se vám do nich někdy proniknout? 

Ano, je to moje práce.

Můžete popsat, jak to tam vypadá?

Máte různé typy platforem, kde zprostředkovatelé počátečního přístupu a obecně aktéři hrozeb prodávají své produkty nebo je shání. Čtyři hlavní se jmenují XSS, BreachForums, Exploit a RAMP. A to mluvím pouze o darkweb fórech, nepočítám Telegram, na kterém fóra také existují. Kromě BreachForums jsou další tři ruská fóra. Nejčastějším jazykem, který se používá ke komunikaci, je ruština. A to je v podstatě vše. Na těchto fórech máte každý rok stovky a tisíce dat nabízených k prodeji.

Cítili jste se někdy kvůli své práci v ohrožení?

Vůbec ne. Součástí práce bezpečnostního výzkumníka je používání různých typů nástrojů ke skrytí své identity. A aktéři hrozeb také nejsou hloupí. Velmi rychle pochopí, kdo s nimi mluví a snaží se od nich získat informace. Jestli je to jiný aktér hrozby, nebo bezpečnostní výzkumník.

Mimochodem, na většině těchto darknetových fór představují přibližně 30 procent všech uživatelů bezpečnostní výzkumníci. Takhle monitorují fóra. A  hackeři vědí, že je monitorujeme.

Mluvili jsme o tom, že cílem je získat "vstupní klíč". Pokud se pomocí něj hackeři dostanou například do nemocnice, mohou získat třeba i data pacientů?

Samozřejmě. Přesně to dělají zejména ransomwarové skupiny. Ne všechny ransomwarové skupiny mají ve svém týmu zprostředkovatele prvotního přístupu. Spousta těchto skupin, v posledních letech například Lockbit, Hive a i další platí zprostředkovatelům za konkrétní přístupy. Poptávají například i vstupy do nemocnic. Zprostředkovatel jim nabízí počáteční přístup, oni si ho koupí a jejich ransomware pak zašifruje všechny soubory v síti, kterou napadl. A pak požadují výkupné za vrácení souborů. Takže pokud útočíte na nemocnici, jednou z nejcennějších věcí, kterou mohou provozovatelé ransomwaru udělat, je zašifrovat soubory pacientů. Jsou to velmi cenná data. Má to také vliv na pověst nemocnice. Ta také může čelit žalobám pacientů, pokud jejich data uniknou.

Dochází tedy k tomu, že by hackerské skupiny zveřejňovaly data pacientů?

Ano, a nejen pacientů. Zveřejňují i důvěrná data o zákaznících, klientech pojišťoven či bank. Dělají to, pokud jim oběť odmítne zaplatit.

Video: Maturita na počkání za 30 tisíc. Natočili jsme ženu, která prodává falešná vysvědčení. (22. dubna 2024) Článek s videem zde.