Grupa hakerów zhakowana, czyli nosił wilk razy kilka…
…ponieśli i wilka – brzmi dalsza część tego przysłowia. Tym razem chodzi o grupę hakerską LockBit, która… sama została zhakowana.
W świecie cyberprzestępczości doszło do niecodziennego zdarzenia. Jak donosi agencja Reuters grupa ransomware LockBit, znana z licznych ataków na firmy i instytucje na całym świecie, sama padła ofiarą cyberataku. Na jednej z ich stron w darknecie pojawił się komunikat:
Don’t do crime CRIME IS BAD xoxo from Prague,
do którego dołączony był link do danych zawierających m.in. zapisy rozmów między członkami grupy a ich ofiarami. Jak informuje Reuters eksperci z firm Analyst1 i Rapid7 zajmujących się cyfrowym bezpieczeństwem uznali je za wiarygodne. Obecnie niektóre strony powiązane z LockBit są nieaktywne, co może wskazywać na poważne zakłócenia w ich działalności.
Z danych, które wyciekły, wynika, że hakerzy tej grupy nie ograniczali się wyłącznie do polowania na grube korporacyjne ryby. Atakowali także płotki – niewielkie firmy, które płacą okup, bo wcześniej nie stać je było na sensowny backup danych robiony np. zgodnie z regułą 3-2-1 (albo po prostu nikt o tym nie pomyślał), a po ataku nie mogą sobie pozwolić na negocjacje, czy dłuższy przestój. Obecnie niektóre strony powiązane z Lockbit są nieaktywne, co może wskazywać na poważne zakłócenia w ich działalności.
Kopia kopii i jeszcze jedna kopia
Wspomniana reguła 3-2-1 to sprawdzona strategia tworzenia kopii zapasowych danych, która minimalizuje ryzyko ich utraty w wyniku awarii sprzętu, błędów ludzkich, cyberataków czy klęsk żywiołowych.
Trzy kopie danych
Należy utrzymywać co najmniej trzy kopie danych: jedną oryginalną oraz dwie kopie zapasowe. Dzięki temu, jeśli jedna z kopii zostanie uszkodzona lub utracona, pozostałe zapewnią możliwość odzyskania informacji.
Dwa różne nośniki
Kopie zapasowe powinny być przechowywane na co najmniej dwóch różnych typach nośników, takich jak dyski twarde, pamięci USB, taśmy magnetyczne czy chmura. Różnorodność nośników zmniejsza ryzyko jednoczesnej awarii wszystkich kopii.
Jedna kopia poza siedzibą
Przynajmniej jedna kopia danych powinna być przechowywana w innej lokalizacji niż pozostałe, na przykład w chmurze lub w zewnętrznym centrum danych. Chroni to przed utratą danych w przypadku zdarzeń losowych, takich jak pożar czy powódź w głównej lokalizacji.
Czym są grupy hakerskie i jak działają?
Grupy hakerskie to zorganizowane zespoły cyberprzestępców, które specjalizują się w atakach na systemy komputerowe. Choć oficjalnie cele takich grup mogą brzmieć różnie – od blokady działania firmy przez pokaz własnych umiejętności po powody ideologiczne – w praktyce zazwyczaj chodzi o jedno: pieniądze. Uzyskane w sposób mniej lub bardziej bezpośredni od firm, osób i instytucji, które zostały zaatakowane.
Oczywiście, są też grupy działające dla idei na zlecenie rządów, ale można przypuszczać, że i one do tych ataków nie dokładają. Narzędzie – zazwyczaj ransomware. Ransomware to rodzaj złośliwego oprogramowania (malware), które blokuje dostęp do danych lub systemu komputerowego, najczęściej poprzez ich zaszyfrowanie. Cyberprzestępcy żądają okupu (ang. ransom) za przywrócenie dostępu do danych, przeważnie w formie kryptowaluty, aby utrudnić ich identyfikację. Zapłacenie okupu wcale nie gwarantuje odzyskania dostępu do danych, ani też nie daje żadnej pewności, że nie zostaną one sprzedane na czarnym rynku. Bardzo często cyberprzestępcy pieką dwie pieczenie na jednym ogniu –najpierw zgarniają okup, a dane pozyskane w wyniku ataku i tak sprzedają „na lewo”.
Wiele z tych grup dodaje do swojej podstawowej działalności (szantaż i handel danymi) świadczenie usług w ramach modelu „Ransomware as a Service” (RaaS) „szyjąc na miarę” i udostępniając oprogramowanie ransomware innym przestępcom. Ewentualnie, oferując swoje usługi firmom zwalczającym w ten sposób własną konkurencję lub też rządom różnych krajów. RaaS sprawia, że cyberprzestępczość staje się bardziej dostępna i trudniejsza do zwalczania, ponieważ rozprasza odpowiedzialność i utrudnia identyfikację głównych sprawców.
Na szczególną uwagę zasługują także grupy prawdopodobnie wspierane przez rządy, jak Apt28 (Fancy Bear) i Apt29 (Cozy Bear) powiązane z Rosją, Charming Kitten z Iranem czy Lazarus Group działająca na zlecenie Korei Północnej. e Korei Północnej.
Inne znane grupy to Conti, REvil odpowiedzialna za udany atak na oprogramowanie dostarczane przez firmę Kaseya w 2021 r. i żądająca w zamian za odszyfrowanie danych 70 mln USD oraz DarkSide, która zaatakowała Colonial Pipeline, co doprowadziło do zakłóceń w dostawach paliwa w USA.
Utrata reputacji – poważny cios dla grupy hakerskiej
Zhakowanie grupy Lockbit to nie tylko techniczny problem, ale przede wszystkim poważny cios w jej reputację. W świecie cyberprzestępczości zaufanie i wiarygodność są kluczowe – ofiary muszą wierzyć, że po zapłaceniu okupu odzyskają swoje dane. Jeśli grupa hakerska nie jest w stanie zabezpieczyć własnych systemów, podważa to jej wiarygodność i może prowadzić do spadku liczby „klientów”, a tym samym dochodów. Jak trafnie zauważył Jon DiMaggio z Analyst11, który kiedyś nazwał Lockbit „Walmartem grup ransomware”, ten atak z pewnością ich zaboli i spowolni.
