11/2022

   Report bezpečnosti

Ako funguje fabrika na kybernetický zločin

Keď je hlavný produkt malvér  *  Pozrite sa, či máte problém aj vy  *  Trh ako ktorýkoľvek iný

Malvér ako služba (Malware as a Service)

Dostupnosť škodlivého softvéru v systéme malvér ako služba (MaaS) je až alarmujúco jednoduchá. A to dokonca za prijateľnú sumu a s kompletnou starostlivosťou. Napríklad taký infostealer sa dá prenajať za sedemdesiatpäť amerických dolárov týždenne alebo dvesto amerických dolárov mesačne v kryptomenách. Uvedené sumy za prenájom spôsobili, že malvér sa stal účinnou zbraňou aj v rukách menej IT zdatných zločincov.

Svetové médiá a profesionáli neprestávajú diskutovať o prípade malvéru Raccoon typu infostealer, ktorý vrcholí v týchto dňoch súdnym procesom. FBI zhromažďuje priebežne údaje ukradnuté z mnohých infikovaných počítačov. Presné číslo ešte nebolo overené, ale agenti doteraz identifikovali v ukradnutých údajoch viacej ako 50 miliónov jedinečných oprávnení a foriem identifikácie, akými sú e-mailové adresy, bankové účty, adresy kryptomien a čísla kreditných kariet. Prihlasovacie údaje zahŕňajú viac ako štyri milióny e-mailových adries. Vo vyšetrovaní sa stále pokračuje.

„My kradneme a vy kupujete“

Raccoon Infostealer sa prvýkrát objavil začiatkom roka 2019, pôvodne bol v ponuke na platformách v ruskom jazyku a neskôr aj v angličtine. Malvér mal aj svoj vlastný marketingový slogan „My kradneme a vy kupujete“, ktorý prispel nielen k jeho popularite, ale aj zvýšenej pozornosti zo strany odborníkov na kybernetickú bezpečnosť.

Jednou z techník prvotnej infekcie boli phishingové maily. Malvér kradol osobné údaje z počítačov obetí vrátane prihlasovacích údajov, finančných informácií a iných osobných záznamov. Ukradnuté informácie boli použité na páchanie finančných trestných činov alebo sa predávali ďalej na dark webe.

Podľa publikovaných amerických súdnych dokumentov je kľúčovou postavou tejto operácie ukrajinský mladík Mark Sokolovsky. Štátny žalobca ho obvinil z používania malvéru v medzinárodnej kybernetickej zločineckej operácii Raccoon Infostealer, ktorou infikovali milióny počítačov po celom svete a ukradli finančné prihlasovacie údaje a peniaze.

Hľadá sa vinník

Sokolovsky utiekol po začiatku ruskej invázie z Ukrajiny do Holandska. Niekoľko dní po jeho príchode ho holandská polícia zatkla na základe obvinení z počítačového podvodu, z prania špinavých peňazí a krádeže identity. V prípade usvedčenia mu hrozí viacej ako dvadsať rokov väzenia. Okresný súd v Amsterdame vydal v septembri rozhodnutie, ktorým povolil vydanie obžalovaného do Spojených štátov. Sokolovsky sa proti tomuto rozhodnutiu odvolal.

Súbežne so zatknutím Sokolovského holandskými orgánmi v marci 2022 prebiehala aj ďalšia akcia. FBI v spolupráci s holandskými a talianskymi partnermi odstavili digitálnu infraštruktúru podporujúcu Raccoon Infostealer a uviedli jeho existujúcu verziu do offline režimu.

Podľa informácií z júna 2022 sa rozbehli práce na druhej verzii Raccoon Stealera, ktorá by mala obsahovať zlepšenú funkciu kradnutia hesiel aj operačnú kapacitu. Nová verzia bola k dispozícii iba obmedzenému počtu hackerov, s najväčšou pravdepodobnosťou predchádzajúcim zákazníkom, so stanovenou cenou na 275 amerických dolárov mesačne alebo 125 amerických dolárov týždenne.

Aktualizovaná verzia tohto malvéru bola vydaná v júli 2022. Raccoon Stealer V2 sa stal virálnym a získal nové meno RecordBreaker.

Ako si overiť, či ste obeťou

Pri hľadaní obetí malvéru Raccoon vytvorila agentúra FBI webovú stránku, kde môže ktokoľvek zadať svoju e-mailovú adresu, aby zistil, či sa nachádza v úložisku ukradnutých údajov. Webová stránka je raccoon.ic3.gov a prevádzkovateľ upozorňuje, že informácia je súčasťou procesu USA versus Mark Sokolovsky.

Ak sa e-mailová adresa nachádza medzi údajmi, FBI pošle na túto adresu e-mail s upozornením pre používateľa. Potenciálnym obetiam agentúra odporúča, aby vyplnili aj podrobnú sťažnosť a spresnili aj finančnú alebo inú ujmu, ktorú utrpeli v dôsledku odcudzenia ich informácií. Takéto formuláre dlhodobo poskytuje Centrum sťažností na internetovú kriminalitu FBI (IC3) a sú súčasťou vyšetrovania podľa amerických zákonov. Pre zaujímavosť – v komunikácii môžete uviesť aj krajinu, kde sa vám stala ujma.

Trh ako ktorýkoľvek iný

Aj hráči na malvérovom trhu bojujú s konkurenciou a aktualizujú ponuky. Hackeri si údajne na malvéri Raccoon cenili ľahkú navigáciu a „excelentný servis“.

Cenová ponuka v ekosystéme MaaS často závisí aj od regiónu a najmä jeho finančnej sily. Ak využívajú aktéri hrozieb na šírenie malvéru botnety, prenajímajú si ich. Tie so sídlom v USA sú drahšie, pretože obete v USA majú viac peňazí na bankových účtoch aj vyššie úverové limity na kreditných kartách ako napríklad v Európe. Botnet s tisíckou počítačov v európskych regiónoch stojí iba 50 amerických dolárov, zatiaľ čo v USA je cena za takýto botnet viac ako dvojnásobná, takmer 120 amerických dolárov.

Ako píše popredný bezpečnostný portál, „predstavte si, že ktokoľvek z ulice si za tisíc dolárov prenajme útočný botnet so silou desaťtisíc počítačov“. Útočné nástroje sa tak stávajú čoraz dostupnejšie a cena za ich získanie bude ešte klesať. Automatizácia a profesionalizácia kybernetického zločinu robí náš svet nebezpečnejším. V každom prípade je tento trend pre používateľov zlou správou.

PS1: Ak vás téma zaujala a ak by ste si chceli overiť, či ste sa stali obeťou úniku dát vo všeobecnosti, uvádzame aj príklad ďalších platforiem:

https://www.avast.com/hackcheck#mac

https://sec.hpi.uni-potsdam.de/ilc/search

https://haveibeenpwned.com 

PS2: Ak už budete zadávať a posielať niekam svoju adresu, premyslite si, či to nie je len ďalší zdroj na zber adries a osobných údajov.


Informačný súhlas: Na účely merania a štatistiky návštevnosti webovej stránky používame súbory cookies. Ide o štatistické údaje o tom, kedy a ako používatelia prezerajú stránky, a tieto údaje neidentifikujú žiadnu fyzickú osobu. Používame cookies tretích strán, ktoré sú štandardné pre daný odbor, napríklad Google Analytics. Ak chcete odmietnuť akceptáciu cookies, môžete tak urobiť v nastavení vášho prehliadača.

Rozumiem

Informačný súhlas: Na účely merania a štatistiky návštevnosti webovej stránky používame súbory cookies. Ide o štatistické údaje o tom, kedy a ako používatelia prezerajú stránky, a tieto údaje neidentifikujú žiadnu fyzickú osobu. Používame cookies tretích strán, ktoré sú štandardné pre daný odbor, napríklad Google Analytics. Ak chcete odmietnuť akceptáciu cookies, môžete tak urobiť v nastavení vášho prehliadača.

Rozumiem