Kybergang

Hacking nebo kyberzločin se zdá být ve svých počátcích doménou osamělých vlků samotářů (třeba Kevin Mitnick) a tento obraz spoluvytvářel i Hollywood. Vzpomeňte si na starší filmy a vždy uvidíte nějakou počítačovou genia sedícího v přítmí zataženými žaluziemi, ve vytahaném světru, s popelníkem plným nedopalků a obklopeným spoustou displejů (čím více displejů, tím více hackerů). Možná to tak bylo, nevím, nicméně od okamžiku, kdy se ukázalo, že kyberzločinem se dá přijít k penězům, a to opravdu velkým penězům, začal přitahovat skutečný zločince. Dnes se jedná v případě ransomwarových gangů o organizované a specializované skupiny, které se pod jednou „firmou“ dělí o zisk.

Výraz „firma“ je zcela na místě, protože organizace ransomware kybergangu hodně připomíná IT firmu, být anonymita je v případě kybergangu větší a jednotlivci z různých „oddělení“ se ani nemusí znát.

Centrem kybergangu je zpravidla programátorský tým, ten vyvíjí a testuje vlastní kód ranomware, připravuje jeho aktualizaci a upgrade. Bývají interně označování jako Development team, může to být samozřejmě jeden, ale i více programátorů, vyvíjet vlastní kód nebo koupit a upravit jiný kód.

Protože jak vývoj, tak i ostatní aktivity běží na informačních systémech, má svůj vlastní IT support team (vlastní interní IT). V jejich kompetenci je však nejen vlastní vývojové prostředí, ale i vytvoření a správa platebních serverů, účtů kryptoměn, vlastních webů a propagačních platforem – sociální sítě, komunikačních prostředků atd.

Další částí je tzv. PR and social media team – skupina nebo jednotlivec, který komunikuje s médii a zajišťuje vhodnou „popularitu“ kybergangu.

Velmi důležitým je pak Customer support team, skupina či jednotlivec, kteří vedou vyjednávání o výkupném. Ano, z pohledu kybergangu jsou oběti vedeny jako „zákazníci". Je to jediná část kybergangu, se kterou budete komunikovat, pokud se vám to stane a budete jejich „zákazníky“.

V neposlední řadě pak mají kybergangy svůj Sales team. Ten zajišťuje nábor nových zaměstnanců (potřebují šikovné programátory) a zejména pak subdodavatelů neboli Contractorů (to jsou ti, kteří provádějí průlom do sítí obětí a instalují tam vlastní ransomware). Jak už jsem nedávno zmiňoval, na hackerských fórech skutečně probíhá doslova nábor, kdy se jednotlivé kybergangy předhánějí v nabízených podmínkách pro contraktory (označováni také jako affiliates) a ve vychvalování svého produktu.

Výše uvedené části kybergangu si zpravidla dělí 30–40 % výkupného mezi sebe, samozřejmě ne vždy se jedná o skutečná oddělení plná lidí, ale spíše o role, které vykonávají členové gangu a které mohou být samozřejmě i sdílené.

Velmi důležitou roli hrají contractoři (affiliates neboli spolčenci či přidruženci také si občas říkají penetration testers). Získávají velkou část z výkupného a jejich úkolem je provést vlastní napadení a instalaci ransomware. K tomu využívají jednak vlastní nástroje a postupy, nebo nástroje pořízené z DarkWebu. A protože i tady se nám dostává specializace a business, objevují se specializované „firmy“, které jsou zaměřeny na kradení hesel nebo provádění průlomů (ty naleznete jako tzv. access brokers).

Tito hackeři (jedná se samozřejmě také o kyberzločince) neprovádějí sami vlastní průlomy nebo zneužívání dat, ale specializují se na vytváření průniku do sítí, které následně prodávají dále. Na DarkWebu se čile obchoduje s hesly, identitami, přístupy, nástroji, zcizenými daty …

Co tedy dodat? Náš protivník je silný, je třeba být na něj připraven. Pokud chcete poradit s IT bezpečností, poradit co byste měli udělat hned a co počká, co je pro vás vhodné s ohledem na váš business a velikost, klidně se s ohledem na AUTOCONT. Rádi Vám poradíme a jak se říká, za zeptání nic nedáte. :-) AUTOCONT ví jak.