Cyberprzestępczość: aresztowania twórców złośliwego oprogramowania

Przeczytaj także: 1/3 sektora MŚP uważa cyberataki za największe wyzwanie

Aby skutecznie walczyć z przeciwnikiem, należy go dobrze poznać

Cyberprzestępcy oferujący „ransomware jako usługę” (RaaS) to nie tylko deweloperzy oprogramowania szyfrującego. Można do nich zaliczyć także „operatorów” i „partnerów”. Pierwsi z nich są odpowiedzialni za prowadzenie działalności, w tym tworzenie programów afiliacyjnych, udostępnianie oprogramowania ransomware partnerom oraz zarządzanie finansami. Partnerzy zaś wyznaczają cele ataków i przyjmują okupy od swoich ofiar, o ile proces ten nie jest w pełni zautomatyzowany.

Ransomware, a zwłaszcza usługowy model dystrybucji takiego oprogramowania, stanowi ogromne zagrożenie, co potwierdzają dane zgromadzone przez analityków FortiGuard Labs firmy Fortinet. Szczególnie silną bronią na rzecz wspólnego cyberbezpieczeństwa w tej sytuacji jest współpraca różnych podmiotów. Najważniejsze w wykrywaniu i badaniu zagrożeń jest znajdowanie odpowiedzialnych za ich tworzenie ludzi. Jednak umiejętne pozyskiwanie innych danych wyjaśniających powody i cele poszczególnych ataków może poważnie utrudnić działania przestępców oraz zmniejszyć liczbę wypłacanych im okupów.

Działające w ramach partnerstwa różne kraje i dostawcy pomagają w identyfikowaniu całych syndykatów cyberprzestępczych. Jednym z przykładów jest Partnerstwo Przeciwko Cyberprzestępczości Światowego Forum Ekonomicznego, które stanowi pomost między ekspertami sektora prywatnego i organizacjami sektora publicznego o globalnym zasięgu. Wspólne śledzenie cyberprzestępców i ich taktyk ułatwia określenie działań, które należy podjąć w przypadku ataku. Poniżej kilka przykładów zakończonych sukcesem wspólnych operacji.

Sprawiedliwość wymierzona po latach

W 2018 r. amerykański Departament Sprawiedliwości opublikował akt oskarżenia przeciwko 36 osobom w związku z ich domniemaną rolą w Infraud Organization. Cyberprzestępcy zajmowali się pozyskiwaniem skradzionych tożsamości i poufnych danych osobowych oraz ich rozpowszechnianiem na dużą skalę. Handlowali także przejętymi numerami kart debetowych i kredytowych, informacjami bankowymi oraz samym złośliwym oprogramowaniem.

Amerykańskie i międzynarodowe organy ścigania aresztowały trzynastu oskarżonych ze Stanów Zjednoczonych oraz sześciu innych krajów.

Operacja przeciwko Netwalkerowi

27 stycznia br. Departament Sprawiedliwości ogłosił rozpoczęcie skoordynowanych międzynarodowych działań mających na celu eliminację Netwalkera. To wyjątkowo groźny ransomware, wykorzystywany do ataków na przedsiębiorstwa, urzędy miejskie, ośrodki uniwersyteckie i same organy ścigania. W czasie globalnej pandemii COVID-19 priorytetowym celem wyłudzających okupy przy pomocy Netwalkera stał się sektor ochrony zdrowia – szpitale i służby ratunkowe.

Powiązany z Netwalkerem Sebastien Vachon-Desjardins został aresztowany, a 31 stycznia skazany na siedem lat więzienia i zobowiązany do zwrotu pieniędzy podmiotom, od których je wyłudził. Z kolei władze Bułgarii zabezpieczyły ukryte w darknecie dane dotyczące sposobów komunikacji z ofiarami i instrukcje płatności okupów.

Obława na złodziei kryptowalut

8 lutego br. w Nowym Jorku aresztowano dwie osoby pod zarzutem współpracy w celu wyprania dochodów ze skradzionych z giełdy kryptowalut 119.754 bitcoinów. Do tej pory organom ścigania udało się zająć ponad 3,6 miliarda dolarów w kryptowalutach powiązanych z tym włamaniem.
Mimo że przestępcy próbowali wyprać pieniądze za pomocą wielu transakcji i adresów, i tak zostali złapani. To przykład na to, że przy wykorzystaniu odpowiednich narzędzi nawet właściciele kryptowalut bazujących na architekturze blockchain mogą zostać namierzeni.

W walce z cyberprzestępczością przydaje się każda pomoc

Sukcesy organów ścigania nie oznaczają, że złośliwe oprogramowanie ransomware przestanie być zagrożeniem. Należy spodziewać się, że cyberprzestępcy będą opracowywać nowe metody swoich działań – zarówno w kwestii przeprowadzania cyberataków, wyłudzania środków, jak i prania brudnych pieniędzy.

Są też jednak dobre wiadomości. Skoordynowane wysiłki organów ścigania, mające na celu zlikwidowanie botnetu Emotet, okazały się niezwykle skuteczne. Nie został on jeszcze całkowicie wyeliminowany, ale jego aktywność jest znacznie mniejsza niż w ubiegłych latach i nie jest już tak powszechna na całym świecie.

Istnieje wiele sposobów na walkę ze środowiskiem cyberprzestępczym. Znaczenie mają wszystkie działania, zwłaszcza gdy prowadzone są wspólnie. Zmniejszenie aktywności ransomware’u przekłada się na mniejszą liczbę ataków, a więc zapłaconych okupów bądź ilość utraconych danych. To długi, powolny i frustrujący proces, jednak wykrywanie zagrożeń i ściganie sprawców przestępstw naprawdę przynosi efekty.