Najopasnije ransomware grupe danas i kako zapravo izgleda napad iznutra

· Sanja Ledinek

Najopasnije ransomware grupe danas i kako zapravo izgleda napad iznutra

Današnji ransomware više nije djelo pojedinaca nego dobro organiziranih kriminalnih grupa koje funkcioniraju gotovo kao kompanije, s podjelom uloga, podrškom korisnicima i čak “partnerskim programima” za hakere. Među najpoznatijima su LockBit, BlackCat, Cl0p i Akira. Svaka od njih koristi sličnu osnovnu strategiju, ali se razlikuju po tehnikama ulaska i načinu pritiska na žrtve. LockBit je dugo bio najdominantniji jer koristi model “ransomware-as-a-service”, što znači da drugi kriminalci mogu koristiti njihov alat i dijeliti zaradu. BlackCat ili ALPHV je poznat po naprednim tehnikama i brzom širenju unutar sustava, dok je Cl0p postao ozloglašen po napadima na velike kompanije putem ranjivosti u softveru za prijenos datoteka. Akira je noviji igrač, ali se brzo probio zahvaljujući agresivnim taktikama iznude i ciljanju srednjih i velikih poduzeća.

Napad obično započinje nečim što izgleda potpuno bezazleno. Najčešći ulaz je phishing email, odnosno lažna poruka koja izgleda kao legitimna komunikacija, ili iskorištavanje sigurnosne rupe u sustavu. U nekim slučajevima napadači kupuju pristup već kompromitiranim mrežama na dark webu, što znači da organizacija može biti “hakirana” i prije nego što napad službeno započne. Nakon ulaska u sustav, napadači ne rade ništa dramatično. Oni se skrivaju i promatraju. Ova faza može trajati danima ili čak tjednima. Tijekom tog vremena analiziraju mrežu, traže administratorske pristupe i identificiraju najvrjednije podatke. Često koriste legitimne alate kako bi izbjegli detekciju, što znači da njihovo ponašanje izgleda kao normalna aktivnost IT osoblja.

Sljedeći korak je eskalacija privilegija, odnosno dobivanje viših razina pristupa unutar sustava. Kada to postignu, kreću u širenje po mreži, prelazeći s jednog računala na drugo. Cilj je preuzeti kontrolu nad što većim dijelom infrastrukture prije nego što itko primijeti da se nešto događa. Paralelno s tim procesom odvija se krađa podataka. Napadači kopiraju baze podataka, interne dokumente, emailove i sve što može imati vrijednost. Ti podaci se zatim šalju na njihove servere. Ovo je ključni dio modernog napada jer omogućuje dodatni sloj ucjene, čak i ako se sustav kasnije oporavi. Tek kada su sigurni da imaju potpunu kontrolu i dovoljno podataka, pokreću završnu fazu. U tom trenutku aktiviraju ransomware koji šifrira datoteke na svim zahvaćenim uređajima. Istovremeno ostavljaju poruku s uputama za plaćanje, često u kriptovalutama poput Bitcoina. No tu priča ne završava. Ako žrtva odbije platiti, napadači počinju objavljivati ukradene podatke na internetu ili kontaktirati klijente i partnere tvrtke kako bi pojačali pritisak. Neke grupe čak pokreću dodatne napade poput rušenja web stranica kako bi maksimalno otežale poslovanje. Time se tehnički incident pretvara u reputacijsku i pravnu krizu.

Ono što ovu novu generaciju ransomwarea čini posebno opasnom jest činjenica da napad više nije jedinstveni događaj nego proces koji se razvija kroz vrijeme. Organizacije često shvate da su kompromitirane tek kada je već prekasno, odnosno kada su podaci ukradeni i sustavi zaključani. Zaključno, najopasnije ransomware grupe danas ne pobjeđuju zato što imaju najbolji kod, nego zato što razumiju kako funkcioniraju organizacije i gdje su najslabije. Njihova snaga leži u kombinaciji tehnike, psihologije i poslovne logike, zbog čega obrana više ne može biti samo tehnička, već mora uključivati i strategiju upravljanja krizom.

DRUGE NOVOSTI