100 milionů záznamů volně přístupných na internetu: Šokující únik dat ze Švédska

V únoru začala kybernetická bezpečnostní komunita registrovat novou hrozbu. Skupina pojmenovaná Chaos se objevila krátce poté, co mezinárodní bezpečnostní složky zasáhly proti nechvalně proslulé skupině BlackSuit. Ta za svou krátkou, ale intenzivní kariéru podle americké CISA požadovala výkupné v souhrnné hodnotě přes 500 milionů dolarů. Její web na darknetu, kde vystavovala oběti, byl v rámci operace CheckMate zabaven.

Ale místo toho, aby útoky skončily, nastoupil nový hráč – a podle expertů ze společnosti Cisco Talos jde buď o rebranding BlackSuit, nebo přímo o její bývalé členy. Důvod? Shodují se metody šifrování, styl výkupných zpráv i nástroje pro vzdálenou správu. Skupina navíc používá tzv. LOLbins – nativní nástroje systému Windows, které jsou zneužívány k útokům bez potřeby instalace malwaru.

Ransomware od Chaos přepisuje koncovky souborů na .chaos a obětem nechává soubor readme.chaos.txt. Zpráva je typická: pokud zaplatíte výkupné, údajně dostanete dešifrovací nástroj a „bezpečnostní zprávu“ s popisem, kudy se útočníci dostali dovnitř. A také slib, že všechna ukradená data smažou. V opačném případě hrozí nejen zveřejněním dat, ale i DDoS útokem.

Talos uvádí, že útoky jsou zaměřené především na USA, ale zaznamenány byly i případy ve Velké Británii, Indii a na Novém Zélandu. Chaos cílí na větší firmy a instituce – jde o tzv. big-game hunting, tedy „lov na velkou kořist“. Výše výkupného? V některých případech přesahuje 300 000 dolarů.

Zdroj: Shutterstock

Sociální inženýrství místo síly

Chaos se k obětem nedostává klasickým malwarem, ale pomocí sociálního inženýrství. Útočník kontaktuje cíl přes e-mail nebo telefon a vydává se za bezpečnostního technika. Oběť přiměje spustit nástroj Microsoft Quick Assist, který umožní vzdálené ovládání počítače – a tím má útočník dveře dokořán.

Tento způsob je nejen efektivní, ale i obtížně odhalitelný, protože nevyžaduje složitý škodlivý kód. Útočníci využívají důvěry uživatele a nástrojů, které jsou již v systému nainstalované.

Začarovaný kruh ransomwaru

Případ Chaos znovu potvrzuje, že likvidace jedné skupiny není koncem problému. BlackSuit byla už sama přejmenovanou skupinou Royal, která předtím vznikla z fragmentů nechvalně známé Conti. Neustále vznikají nové značky, ale lidé a metody zůstávají.

Ransomware se stal organizovaným byznysem, který se přizpůsobuje tlakům ze strany bezpečnostních složek. V každé skupině jsou lidé s jasným cílem: vydírat, zpeněžit a zmizet. A i když se zdá, že jsme vyhráli, chaos je často jen za rohem – doslova i obrazně.