Cyberprzestępcy atakują tych samych klientów dwa razy. Wojna ransomware na całego

Ransomware to dziś jedna z najgroźniejszych broni w rękach cyberprzestępców, które paraliżuje przede wszystkim firmy i instytucje na całym świecie. 

Choć w teorii to „łatwe pieniądze” dla hakerów, często służy do finansowania szemranych transakcji na dark webie, takich jak handel narkotykami czy piramidy finansowe. W praktyce jednak największymi ofiarami tego cyfrowego terroru są organizacje, które zaniedbały inwestycje w solidne zabezpieczenia i systemy kopii zapasowych.

Jakby tego było mało, sytuację pogarszają konflikty wewnątrz samego półświatka cyberprzestępców, które mogą oznaczać jeszcze większe zagrożenie dla potencjalnych ofiar.

DragonForce kontra RansomHub – wojna o wpływy

Financial Times poinformował właśnie o nowej wojnie gangów w świecie ransomware. Grupa DragonForce, określana jako rosyjskojęzyczna siatka stojąca za wieloma tegorocznymi cyberatakami, rozpoczęła wojnę o wpływy z konkurencyjnym gangiem RansomHub. Powodem eskalacji jest rzekomo to, że RansomHub rozszerzył ofertę swoich „usług” i zaczął przyciągać więcej partnerów (tzw. afiliantów), którzy wykonują faktyczne włamania i infekcje ransomware.

Eksperci, z którymi rozmawiał Financial Times, ostrzegają, że konflikt może skutkować podwójnymi próbami wymuszeń wobec tych samych firm. To oznacza, że jedna organizacja może zostać zaatakowana dwukrotnie przez różne gangi, co dramatycznie zwiększa koszty i utrudnia odzyskanie danych. Jak podkreśliła Genevieve Stark, szefowa analizy cyberprzestępczości w Google Threat Intelligence Group, „niestabilność w tym ekosystemie może mieć poważne konsekwencje dla ofiar ransomware i wyłudzeń danych”.

Gangi zmieniają nazwy, ale metody pozostają te same

Choć cyberprzestępcze wojny brzmią groźnie, historia pokazuje, że czasem prowadzą bardziej do wewnętrznych rozłamów niż do eskalacji ataków na firmy. Przykładem jest choćby upadek grupy Conti po inwazji Rosji na Ukrainę w 2022 roku, kiedy to członkowie gangu pochodzili z obu krajów, co doprowadziło do jego rozpadu.

Z kolei według firmy Sophos, likwidacja pojedynczych grup, jak BlackMatter w 2022 roku, często nie zmienia obrazu cyberprzestępczości. Ransomware działa dziś w modelu usługowym (Ransomware-as-a-Service), w którym operatorzy sprzedają swoje oprogramowanie przestępcom, a ci mogą w każdej chwili przejść do innej „sieci partnerskiej”. W praktyce oznacza to, że gangi mogą znikać pod jednym szyldem i błyskawicznie wracać pod nowym.

Kiedy złodzieje okradają złodziei

Czasami jednak wojny gangów mają bardzo realne skutki dla firm. Głośnym przykładem była sprawa UnitedHealth Group. Afiliant ransomware o pseudonimie Notchy zwrócił się do RansomHub, by kontynuować wymuszenia wobec spółki zależnej Change Healthcare, mimo że ta zapłaciła już 22 miliony dolarów okupu. Pieniądze ukradli bowiem operatorzy grupy BlackCat/ALPHV, organizując tzw. exit scam, czyli ucieczkę z forsą.

To pokazuje, że nawet po opłaceniu okupu firmy mogą paść ofiarą kolejnych prób wymuszeń, tym razem od innych gangów lub nawet od dawnych wspólników cyberprzestępców.

Najlepsza obrona? Nie płacić

Eksperci powtarzają jednak wciąż to samo: firmy nie powinny ulegać szantażom. Wzorem jest niemiecka organizacja charytatywna Welthungerhilfe, która odmówiła zapłaty okupu cyberprzestępcom, dając przykład innym. Im więcej firm powie ransomware „nie”, tym mniejsze środki pozostaną w rękach hakerów.