Velké hackerské skupiny se samy stávají terčem útoků

26. 9. 2022. (redaktor: František Doupal, zdroj: Cisco systems)
Internetoví vyděrači se v posledních týdnech potýkají s rostoucím počtem útoků na svůj „byznys“. Podle expertů kyberbezpečnostní agentury Cisco Talos se množí případy, kdy jsou veřejné stránky poskytovatelů ransomware služeb (RaaS) napadány pomocí útoků DDoS.

Stránky RaaS jsou v tomto případě zahlceny obrovským množstvím požadavků na přístup, což způsobuje jejich zpomalení nebo dokonce úplnou nefunkčnost. Hackeři v těchto případech ztrácejí svůj klíčový nástroj pro vydírání, protože nemohou zveřejňovat informace o svých obětech.

„Nechcete zaplatit? Pro zvýšení motivace zveřejníme část vašich dat na našem fóru.“ Taktika dvojího vydírání je oblíbeným postupem internetových zločinců. Pokud oběť nereaguje na první kontakt, útočník zveřejní vybraná data. K tomu slouží speciální stránky pro uniklá data. Typicky jsou provozovaná dodavateli RaaS (Ransomware as a Service). Ti útočníkům dodávají komplexní balíčky nástrojů a služeb pro kybervydírání. Jejich spolupráce funguje na smluvní bázi, nejčastěji formou podílu na zisku.

Koncem srpna se řada těchto dodavatelů stala obětí útoků. První z nich monitorovala kyberbezpečnostní agentura Cisco Talos 20. srpna. RaaS provider LockBit oznámil, že jeho stránky pro uniklá data jsou pod „palbou“ tisícovky serverů a počet požadavků o přístup je téměř 400 za sekundu. Mělo se jednat o největší DDoS úrok za poslední tři roky. To vedlo k výpadku důležitého nástroje k vytváření nátlaku na oběti. Nedostupnost či pomalý provoz platforem pro publikaci úniků dat v následujících dnech postihly i jiné dodavatele pro kybervydírání, jmenovitě ALPHV (známý jako BlackCat), LV, Hive, Everest, BianLian, Yanluowang, Snatch, Lorenz, Ragnar Locker nebo Vice Society.

DDoS útoky odhalily dvě věci. Zaprvé: Čím sofistikovanější a propracovanější je zločinecký model, tím více jej dokáže zaskočit primitivní forma útoku. Jednoduché zahlcení stránek se ukázalo slabým místem pro překvapivé množství známých poskytovatelů RaaS. Jakkoliv jde o nepříjemnost na pár dní, může napáchat nezanedbatelné škody na jejich reputaci.

Druhou odhalenou věcí byl způsob, jakým se jednotlivé RaaS skupiny s nastalou situací vypořádaly. Zatímco ALPHV na své stránky nasadil robustnější ochranu proti automatizovanému získávání dat (tzv. scraping), Quantum své stránky v podstatě odstavil. Místo odfiltrování útočného provozu jednoduše žádosti o přístup přesměrovává zpět tam, odkud přišly. To podle výzkumníků Cisco Talos může naznačovat jejich omezenou úroveň IT dovedností. Nejvíce z útoků vytěžil LockBit. Vedle vylepšení DDoS ochrany oznámil, že k vydírání a šifrování nově do svého portfolia přidává i zahlcení. Protože tuto taktiku využívá málo ransomware skupin, podle odborníků by tento krok mohl přispět k posílení LockBitu na trhu kybervydírání.

Zatím není jisté, kdo za útoky stojí. Ačkoliv LockBit naznačuje souvislost s probíhajícím vydíráním kyberbezpečnostní agentury Entrust, důkazy ukazující jakýmkoliv konkrétním směrem nejsou k dispozici. S ohledem na časový rámec útoků, jejich počet a zaměření, můžeme pouze konstatovat, že jde o koordinované úsilí proti RaaS platformám zveřejňujícím uloupená data s cílem narušit snahy o publikaci nových informací o obětech. Útoky přitom nemají vliv na ostatní fáze této kriminální aktivity, protože nástroje pro interakci se zákazníky nebo oběťmi nebyly dotčeny. Tato aktivita však může na ransomware scéně zasít nedůvěru a přinést neshody jak mezi provozovateli systémů a jejich zákazníky, tak mezi RaaS poskytovateli navzájem.

Štítky: 
Bezpečnost, Kybernetické útoky, Cisco systems
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Pět největších trendů v oblasti SASE pro rok 2024

19. 4. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Situace na poli kyberbezpečnosti je komplikovaná. Společnosti využívají tzv. hybridní pracovní sílu, desítky aplikací a třeba i řadu IoT zařízení. Jedním z řešení možných otázek může být přístup SASE (Secure Access Service Edge), na který se v následujícím komentáři zaměřila společnost Fortinet. Čtěte více

Novinky v MSP platformě Acronis: AI skriptování, integrace s AWS a monitoring EDR z partnerské úrovně

18. 4. 2024. (redaktor: František Doupal, zdroj: Acronis)
Acronis přidal do své MSP platformy Acronis Cyber Protect Cloud řadu nových funkcí, včetně AI skriptování, monitoringu EDR z partnerské úrovně, a integrace s AWS a MS Entra, které dále zvyšují její hodnotu pro MSP poskytovatele. Díky aktuálním inovacím mohou poskytovatelé řízených služeb efektivněji spravovat a chránit před kybernetickými hrozbami IT infrastruktury svých zákazníků. Čtěte více

Únik dat odhalil pozadí čínského kyberšpionážní programu

17. 4. 2024. (redaktor: František Doupal, zdroj: Check Point)
Únik dat z čínské bezpečnostní společnosti I-Soon částečně odhalil vnitřní fungování čínského národního hackerského programu. Společnost napojená na čínskou vládu aktivně útočila na vlády dalších zemí, ale i na domácí cíle. Ze získaných informací například vyplývá, že společnost byla financována především ze státních peněz. Čtěte více

U 90 % loňských útoků kyberzločinci zneužili protokol RDP

16. 4. 2024. (redaktor: František Doupal, zdroj: Sophos)
Studie společnosti It’s Oh So Quiet (?): The Sophos Active Adversary Report for 1H 2024+ analyzující přes 150 případů reakce na incidenty řešených týmem Sophos X-Ops Incident Response v roce 2023 zjistila, že kyberzločinci zneužívají protokol vzdálené plochy (Remote Desktop Protocol – RDP), běžnou metodu pro navázání vzdáleného přístupu k systémům Windows, hned v 90 % útoků. Čtěte více