Vítejte v době, kdy kyberútok může zahájit už i jednotlivec, a to bez potřebných dovedností a softwaru

Kyberútočníkem se dnes během chvilky může stát každý a nepotřebuje k tomu z tohoto oboru umět zhola nic. Stačí projít formálním přijímacím řízením na „darknetu“, vlastnit mobil, nebo USB flash disk a mít on-line či off-line přístup do firmy. Během chvilky naštvaný zaměstnanec, návštěva ve firmě, konkurence nebo jen potenciální uchazeč o práci může vytipované organizaci přivodit mnohamilionové škody, odstavit její výrobu a sám si přijít na nesmírný balík peněz.

Odvětví kyberkriminality se obrovským způsobem vyvíjí a přizpůsobuje novým digitálním návykům. Pandemie navíc tento přirozený jev akcelerovala nečekaným způsobem, a tak se počítačová kriminalita stala vysoce lukrativní a organizovanou výnosnou činností. „Vývoj v tomto oboru došel dokonce tak daleko, že kybernetičtí zločinci prostřednictvím stále se vylepšujícího obchodního modelu poskytují své služby a hackerské nástroje komukoliv, kdo je ochoten za ně zaplatit nebo se rozdělit o zisk,“ vysvětluje Martin Lohnert, bezpečnostní odborník společnosti Soitron. Můžeme to přirovnat k partnerským modelům prodeje známým z odvětví IT.

Hackerské skupiny tak rekrutují a k provedení sofistikovaných útoků používají běžné lidi nebo skupiny, které nazývají partnery. Tento nový scénář je v současné době velmi v kurzu. Útoky se díky němu posunuly od útočení „na slepo“ k provádění vysoce zaměřených kampaní prosazovaných prostřednictvím metody cybercrime-as-a-service.

Co je to počítačová kriminalita jako služba
Cybercrime-as-a-Service (CaaS) je termín, který se používá k popisu organizovaného obchodního modelu. Sdružuje vývojáře malwaru a hackery, za účelem prodat nebo pronajmout své nástroje a služby partnerům na „darknetu“. Díky tomu jsou tyto prostředky používané v počítačové kriminalitě přístupné každému, kdo chce zahájit kybernetický útok – i těm, kteří nemají technické znalosti ani software.

Jak je CaaS organizovaná
Kyberzločinci využívající výhod tohoto obchodního modelu jsou dobře organizovaní. „Mohli bychom je doslova přirovnat k legitimním podnikům s korporátní kulturou, tedy s jasnou hierarchií personálu – inženýři, vedoucí pracovníci, vývojáři, finanční oddělení a zástupci technické podpory. Posledně jmenovaná skupina pomáhá ‚zákazníkům‘ tedy hackerům, kteří mají zájem provést útok na vybraný cíl, aby správně prošli technickou stránkou útoků. Zjednodušeně by se dalo říci, že jim poskytnou informace o používání hackerského „produktu“.

Pokud se útočníkům z řad partnerů podaří nakazit malwarem organizaci, je o tom speciálním týmem v hierarchii hackerského gangu uvědomena a ten požaduje „výkupné“. Může se tak stát ještě před aktivací malwaru, nebo případně i po jeho spuštění. Jestliže dojde k zaplacení požadované – většinou několikamilionové částce – nastupují najmutí „mezci peněz“. Ty přesouvají získané finanční prostředky přes různé bitcoinové „mixéry“ a jiné služby, aby bylo obtížné je dohledat. Jakmile jsou peníze „vyprány“, jsou poté uloženy na účet organizované skupiny.

Pro útoky jsou tvořeny speciální kybernetické balíčky
Kybernetické „zbraně“ si lze pronajmout na hodinu, den nebo měsíc. A lze si je pronajmout za pár dolarů. Například k zapůjčení nástroje pro vykonání DDoS (útoku, který způsobí nedostupnost stránky či služby jejím zahlcením) na jeden den stačí zaplatit kolem 60 USD. Za přibližně 400 USD si jej například naštvaný zaměstnanec může pronajmout na týden.

Ceny se liší i v závislosti na propracovanosti škodlivého softwaru. Ti, kteří chtějí provést drobný jednorázový útok, si mohou zakoupit jen low-endové sady malwaru, které stojí méně než 100 USD. Ty je ale samozřejmě také snadnější odhalit a zneškodnit. Ten, kdo plánuje způsobit velké škody, bude muset za komplexnější malware zaplatit mnohem víc. Na druhou stranu, pokud uspěje, tak se mu vrátí několikanásobně vyšší částka. Některé tyto ransomwarové „řešení“ si lze pronajmout za 1 000 USD na měsíc. Jedním z těch dražších je třeba Maze Ransomware Kit, který stojí kolem 84 000 USD.

Hackerské gangy mají zisk nejen z pronájmu, nebo prodeje svých produktů
a služeb, ale také z provizí z útoků. Provozovatelé nebo vývojáři mohou hackerským „partnerům“ pomoci na míru naprogramovat například svůj ransomware a na základě obchodního modelu na útoku participovat tím, že z výkupného získají provizi. „Obě strany si většinou zisk dělí v poměru 60:40 nebo 70:30. To znamená, že hacker získá 60 nebo 70 % ze zisku a vývojářské skupině odvede provizi 30 nebo 40 %,“ uvádí Martin Lohnert. V některých případech „mateřské“ společnosti výkupné rovnou vyzvednou, nechají si dohodnutou provizi a zbytek pošlou útočníkovi.

Proč se CaaS obávat
Undergroundová fóra jsou plná reklam na různé malwarové sady, což je jistou známkou prosperující temné webové ekonomiky. Nabízejí slevy na nákupy nad určitou částku, balíčky, které mohou útočníci kombinovat, 24hodinovou podporu,
a nechybí možnost začíst se do recenzí či hodnocení zákazníků. Jejich pořízení je jako nákup jakéhokoli jiného produktu poskytujícího software jako službu.

Toto je extrémně nebezpečné a problematické. Tento trend jde napřed každému, kdo hledá rychlé nelegální peníze, aby snadno zahájil útok. Zkušeným aktérům hrozeb to potom dává možnost rozvíjet další nástroje a služby tak, aby ještě více posílili svůj „arzenál“. I z tohoto důvodu je v posledních letech kybernetická kriminalita na vzestupu a CaaS přináší další možnost pro její akceleraci.

Že jde opravdu o výnosný byznys, dokazuje nedávno medializovaný případ skupiny DarkSide, který prostřednictvím malware vyřadil na 6 dní potrubní systém pro rafinované ropné produkty na východním pobřeží USA. Společnost Colonial Pipeline zaplatila výkupné 5 milionů dolarů a další šetření ukázalo, že DarkSide jen za posledních 9 měsíců zinkasovalo víc než 90 miliónů USD.

Musí přijít změny
Pokud se nezmění přístup organizací k zabezpečení, škody budou přibývat a budou větší i častější, jak dokládá i tento příklad. Gangy činné v počítačové kriminalitě nyní fungují prostřednictvím obchodního modelu poskytovaného jako služba s organizovanou hierarchií „odborníků“, kteří nabízejí profesionální služby. Pro udržení ransomwaru na uzdě hraje roli každý. „Nezbytně nutné je začít brát kybernetickou bezpečnost vážně. Zmapovat a snížit potencionální rizika. Stanovit a dodržovat podnikové standardy a vzdělávat v tomto směru i zaměstnance. Jen tak lze v tomto boji uspět,“ konkretizuje Martin Lohnert.