Nejnovější analýza ESETu ukazuje, že nově vzniklý gang RansomHub, který se rychle dostal na špičku kyberzločineckého ekosystému, udržuje překvapivé vazby s již etablovanými skupinami Play, Medusa a BianLian. Tyto gangy, ačkoliv oficiálně vystupují jako konkurenti, sdílejí technologie a někteří útočníci pracují dokonce pro více skupin současně.
V celosvětovém boji proti ransomwaru mohli odborníci z ESETu v roce 2024 sledovat dosažení dvou milníků: dva do té doby největší ransomwarové gangy, LockBit a BlackCat, zmizely ze scény. A poprvé od roku 2022 zaznamenali, že finanční náklady spojené s útoky ransomwarem výrazně klesly, a to o 35 procent.
Mohlo by vás zajímat
Paradoxně se však počet obětí zvýšil přibližně o 15 procent. Za značnou část tohoto nárůstu je odpovědný právě RansomHub, který funguje v modelu "ransomware-as-a-service" (RaaS).
Obcházení bezpečnostních bariér
Hlavním objevem výzkumníků ESETu je pokročilý nástroj EDRKillShifter, který gang RansomHub vyvinul a sdílí se svými partnery. Tento sofistikovaný malware slouží k vyřazení bezpečnostních technologií, zejména systémů typu EDR (Detekce a reakce na hrozby pro koncová zařízení).
Přitom rozhodnutí implementovat takovou technologii a nabídnout ji partnerům jako součást programu RaaS je podle odborníků vzácné. Partneři musí obvykle sami najít způsoby, jak bezpečnostní řešení obejít. Zaznamenali prudký nárůst využívání nástroje EDRKillShifter, a to nejen v případě útoků gangu RansomHub.
Zdroj: Threat and Risk Intelligence Services
Organizovaný byznys v kybernetickém podsvětí
Gang RansomHub se objevil krátce poté, co mezinárodní policejní operace Cronos rozbila aktivity dříve dominantního gangu LockBit. Nový gang rychle zaplnil vzniklou mezeru na trhu a přilákal partnery zajímavým obchodním modelem.
Na rozdíl od jiných skupin RansomHub nabízí svým partnerům možnost ponechat si až 90 % z vyplaceného výkupného. Operátorům pak náleží pouhých 10 %. Tento model vyžaduje značnou důvěru, že partneři skutečně svůj podíl odvedou.
Mohlo by vás zajímat
Rostislav Panev v rukou justice – muž, který pomohl vytvořit nebezpečný ransomware LockBit
Bezpečnost
Dalším zajímavým zjištěním je, že stejní útočníci často pracují pro více konkurenčních gangů současně. Bezpečnostní experti identifikovali případy, kdy partneři gangu RansomHub prováděli útoky i pro skupiny Play, Medusa a BianLian.
Pravidla zločinců
Stejně jako řada jiných kyberzločineckých skupin, i RansomHub má svá pravidla, kde neútočit. Gang výslovně zakazuje útoky na země bývalého Sovětského svazu, Kubu, Severní Koreu a Čínu. Analytici zároveň poukazují na možné spojení gangu Play se skupinou Andariel, která je napojena na severokorejský režim, což celé situaci dodává i geopolitický rozměr.
Pro firmy a instituce z toho plyne jediné - kybernetická bezpečnost se stala komplexnějším problémem než kdy dříve. Ransomwarové útoky zůstávají jednou z nejnebezpečnějších hrozeb současnosti, a to i navzdory poklesu finančních ztrát v posledním roce.
Zdroj: ESET
5 foto
