Jak to chodí v ransomware gangu

Pokud se nerozhodnete vydat na kriminální dráhu, budete mít jen málo šancí zjistit, jak to vlastně „chodí“ v takovém kyberzločineckém gangu.

Mezi zločinci občas dochází k různým sporům, občas sami zanedbají bezpečnost a tak se stane, že i jim uniknou nějaká data. Tentokrát se podařilo zachytit záznam interního chatu ransomware gangu Conti.

Jak to tedy u Conti „chodí“? Předně, kdo je nebo co je Conti ransomware gang. Jedná se o kyberzločineckou rusky hovořící skupinu, která se jako první dostala do „clubu 100 miliónů USD“ tedy, že za rok vydělala (rozuměj naloupila uvedenou sumu). Už jsem zmiňoval, že tyto gangy jsou organizovány jako firmy/organizace, a tak to uvnitř i vypadá. Jediný rozdíl je v tom, že se minimálně tedy v chatu neoslovují jmény, ale přezdívkami (či snad krycími jmény).

Ransomware gang má několik „oddělení“ a předpokládejme, že nejste mezi „elitou“ programátory, kteří vyvíjejí a upravují vlastní kód, zkrátka si chcete jen vydělat a slyšeli jste o tom, že se tady dá přijít na slušné peníze. Takže, napřed si vás podá „personální oddělení“, bude prověřovat vaši minulost i současnost, protože obava z průniku agentů úřadů je silná. Sice nebudete mít doložku bránící vám v práci i pro jiné „gangy“, ale mluvit byste o tom neměli. Mezi jednotlivými gangy panuje řevnivost a konkurenční boj.

Můžete očekávat, že na vaše zařízení budou instalovány sledovací systémy, protože až tak si v gangu nevěříme (jednak konkurence, jednak úřady a jednak pokud máte třeba provádět finanční operace s kryptoměnami a šoupat velkými částkami, je třeba vám vidět pod ruce). Počet „zaměstnanců“ na nižších úrovních se mění, fluktuace je velká. Počet členů gangu se mění mezi 65 až 120 členy. Nastupujete na nižší úroveň jako tester. Vašim úkolem je minimálně každé 4 hodiny testovat antivirovými programy programátory vyvinutý kód a sepisovat a prodávat reporty. Hodinky si seřiďte na moskevský čas a počítejte se standardními osmihodinovými směnami.

Je nutné ověřovat, jestli kód není detekován antiviry. Čtyřhodinový rytmus je dán tím, že Microsoft pravidelně uvolňuje aktualizace Defenderu co 4 hodiny. Je to otravná a monotónní práce, za kterou dostáváte cca 1.000 USD (někteří tedy až 2.000 USD) v kryptoměnách měsíčně. Nadřízený stále kontroluje vaše výsledky, nesmíte se zpozdit a nesmíte „propást“ novou aktualizaci (mohou být i mimořádné), musíte stále vytvářet reporty a zápisy. A protože je vás málo, nadřízený jen velmi, velmi nerad dovoluje, abyste si na nějaký čas si vzali „volno“ (rozumějte přestali testovat).

A mimochodem, pokud jste ajťák v ransomware gangu, máte na starosti infrastrukturu a servery pro vývoj a testování, platební brány atd. Šéfové po vás šlapou v případě jakéhokoliv výpadku, na druhou stranu musíte stále aktualizovat systémy a aplikace, instalovat bezpečnostní software. S nadřízenými řešíte, že už je zase třeba zaplatit za licence nebo upgrade, že je třeba obměnit hardware atd. Takže je to stejné, no ještě vás stále sledují a koukají vám pod ruce (vaši nadřízení). Mimochodem, jenom za licenci CobaltStrike (penetrační testovací sada) utratí Conti cca 60.000 USD ročně.

Ze zachycené interní komunikace tedy plyne, že „vydělávají“ jenom někteří členové gangu a ostatní jsou pro ně jen „zaměstnanci“. Určitě však není možné nebezpečnost těchto kyberzločinců podcenit, protože všechna jejich tajemství neznáme. Nepochybujte, že jsou v těchto skupinách i skutečně špičkoví odborníci, co se týká IT a že jenom čekají na naši chybu.

Pokud tedy nevíte, kde je největší nebezpečí, co byste měli udělat hned a co počká, jaký bezpečnostní systém je vhodný pro vás s ohledem na váš business a velikost, klidně se obraťte na AUTOCONT. Rádi Vám poradíme a jak se říká, za zeptání nic nedáte :-) AUTOCONT ví jak.

Do you want more information?