Internetoví vyděrači se v posledních týdnech potýkají s rostoucím počtem útoků na svůj „business“. Podle expertů kyberbezpečnostní agentury Cisco Talos se množí případy, kdy jsou veřejné stránky poskytovatelů ransomware služeb (RaaS) napadány pomocí útoků DDoS (Distributed denial-of-service). Stránky RaaS jsou zahlceny obrovským množstvím požadavků na přístup, což způsobuje jejich zpomalení nebo dokonce úplnou nefunkčnost. Hackeři v těchto případech ztrácejí svůj klíčový nástroj pro vydírání, protože nemohou zveřejňovat informace o svých obětech.
„Nechcete zaplatit? Pro zvýšení motivace zveřejníme část vašich dat na našem fóru.“ Taktika dvojího vydírání je oblíbeným postupem internetových zločinců. Pokud oběť nereaguje na první kontakt, útočník zveřejní vybraná data. K tomu slouží speciální stránky pro uniklá data. Typicky jsou provozovaná dodavateli RaaS (Ransomware as a Service). Ti útočníkům dodávají komplexní balíčky nástrojů a služeb pro kybervydírání. Jejich spolupráce funguje na smluvní bázi, nejčastěji formou podílu na zisku.
Koncem srpna se řada těchto dodavatelů stala obětí útoků. První z nich monitorovala kyberbezpečnostní agentura Cisco Talos 20. srpna. RaaS provider LockBit oznámil, že jeho stránky pro uniklá data jsou pod „palbou“ tisícovky serverů a počet požadavků o přístup je téměř 400 za sekundu. Mělo se jednat o největší DDoS úrok za poslední tři roky. To vedlo k výpadku důležitého nástroje k vytváření nátlaku na oběti. Nedostupnost či pomalý provoz platforem pro publikaci úniků dat v následujících dnech postihly i jiné dodavatele pro kybervydírání, jmenovitě ALPHV (známý jako BlackCat), LV, Hive, Everest, BianLian, Yanluowang, Snatch, Lorenz, Ragnar Locker nebo Vice Society.
DDoS útoky odhalily dvě věci. Zaprvé: Čím sofistikovanější a propracovanější je zločinecký model, tím více jej dokáže zaskočit primitivní forma útoku. Jednoduché zahlcení stránek se ukázalo slabým místem pro překvapivé množství známých poskytovatelů RaaS. Jakkoliv se jedná o nepříjemnost na pár dní, může napáchat nezanedbatelné škody na jejich reputaci.
Druhou odhalenou věcí byl způsob, jakým se jednotlivé RaaS skupiny s nastalou situací vypořádaly. Zatímco ALPHV na své stránky nasadil robustnější ochranu proti automatizovanému získávání dat (tzv. scraping), Quantum své stránky v podstatě odstavil. Místo odfiltrování útočného provozu jednoduše žádosti o přístup přesměrovává zpět tam, odkud přišly. To podle výzkumníků Cisco Talos může naznačovat jejich omezenou úroveň IT dovedností. Nejvíce z útoků vytěžil LockBit. Vedle vylepšení DDoS ochrany oznámil, že k vydírání a šifrování nově do svého portfolia přidává i zahlcení. Protože tuto taktiku využívá málo ransomware skupin, podle odborníků by tento krok mohl přispět k posílení LockBitu na trhu kybervydírání.
Zatím není jisté, kdo za útoky stojí. Ačkoliv LockBit naznačuje souvislost s probíhajícím vydíráním kyberbezpečnostní agentury Entrust, důkazy ukazující jakýmkoliv konkrétním směrem nejsou k dispozici. S ohledem na časový rámec útoků, jejich počet a zaměření, můžeme pouze konstatovat, že jde o koordinované úsilí proti RaaS platformám zveřejňujícím uloupená data s cílem narušit snahy o publikaci nových informací o obětech. Útoky přitom nemají vliv na ostatní fáze této kriminální aktivity, protože nástroje pro interakci se zákazníky nebo oběťmi nebyly dotčeny. Tato aktivita však může na ransomware scéně zasít nedůvěru a přinést neshody jak mezi provozovateli systémů a jejich zákazníky, tak mezi RaaS poskytovateli navzájem.
