Hakerski forumi ''peru ruke'' od kriminalnih grupa koje rade sa ransomwareom

Vesti, 18.05.2021, 11:30 AM

XSS, popularni forum za internet kriminal, zabranio je prodaju ransomwarea na svojoj platformi, kao i iznajmljivanje ransomwarea i partnerske programe za ransomware.

Ovaj potez usledio je posle napada na jedan od najvećih naftovoda u Sjedinjenim Državama zbog kojeg je došlo do zastoja u snabdevanju gorivom nekih delova SAD.

U saopštenju na ruskom jeziku koje je objavljeno na forumu, administrator XSS-a je rekao da je odluka da se zabrane grupe koje rade sa ransomwareima kao što su REvil, Babuk, Darkside, LockBit, Nefilim i Netwalker, doneta zbog “ideoloških razlika”, kao i zbog medijske pažnje koja je rezultat nekih od poslednjih napada ovih grupa.

U saopštenju se navodi da su članovi foruma zabrinuti zbog mogućih posledica. Citirana je i nedavna izjava Dmitrija Peskova, sekretara za štampu ruskog predsednika Vladimira Putina, koji je rekao da ruska država nije umešana u napad na američki naftovod.

„Peskov je prinuđen da se pravda pred našim prekookeanskim „prijateljima“ - ovo je malo previše“, navodi se u saopštenju administratora foruma.

Sve objave grupe DarkSide koja je odgovorna za napad na naftovod nestale su sa foruma.

DarkSide je već osetio posledice svog “pogrešnog izbora”. Grupa je na forumu Exploit objavila da se povlači iz posla jer je izgubila pristup “javnom delu svoje infrastrukture”, blogu i serveru za plaćanje, a kriptovaluta kojom su žrtve plaćale grupi prebačena je na nepoznati račun.

Neki analitičari sumnjaju da se DarkSide povlači iz posla, i da je poruka samo varka da bi skinuli policiju s vrata.

Situacija DarkSidea uticala je i na druge kriminalne grupe kao što je REvil, koja je objavila nove „smernice“ pozivajući svoje partnere da se klone zdravstvenih i obrazovnih institucija, kao i vladinih agencija. Nova pravila zahtevaju da se vođe grupe dogovore o svakom novom cilju.

Grupa koja stoji iza Avaddon ransomwarea objavila je slične smernice nakon što su FBI i australijski Centar za sajber bezbednost objavili upozorenja o Avaddonu.

Analitičari smatraju da će nakon prekida rada DarkSidea dominirati četiri glavne grupe: REvil, LockBit, Avaddon i Conti i da će one nastaviti da rade ali “u privatnom režimu“. Procena je da će ove grupe verovatno početi da traže nove saradnike preko svojih sajtova na kojima objavljuju ukradene podatke, jer će mnogi forumi, poput XSS i drugih sličnih platformi koje se koriste za reklamiranje ransomwarea, sada verovatno odbiti da sarađuju sa njima.

Oni kažu da je jedan od glavnih problema sa ransomwareom to što ljudi koji stoje iza takvih napada ne mogu biti uhapšeni što neminovno vodi do novih napada.

“Pored toga, mnoge države su utočište za sajber kriminal. Mnoge zemlje nemaju problema sa sajber kriminalcima poreklom iz njihove zemlje sve dok ne napadaju svoje zemlje i prećutno se dogovore da učine uslugu vladi, ako se to od njih zatraži”, rekao je Rodžer Grajms iz KnowBe4 za ZDNet. On kaže da se neke države čak i finansiraju ukradenim novcem, ili preko mita koje kriminalci daju da bi mogli nesmetano da rade ili tako što troše novac u svojoj zemlji.

Zbog neželjene pažnje koju je izazvao napad na naftovod, Grajms smatra da će neki od umešanih u napad možda biti kažnjeni ili uhapšeni, ali da države neće prestati da služe kao utočišta za sajber kriminalce zbog toga što je to vrlo unosan biznis.

“Jedina lekcija naučena u ovom slučaju je da je postavljena nova granica. Ne radite nešto što uzrokuje nestašicu energije što uznemirava vladu druge države”, rekao je on. “Ali da li će ih to sprečiti da ukradu desetine milijardi dolara od desetina hiljada firmi i pojedinaca? Ne.”

Grajms smatra da će se, uprkos tome što je sa foruma XSS poslata snažna poruka ransomware grupama, malo toga promeniti i da se države moraju udružiti da bi uradile nešto u vezi sa ransomwareom koji posle napada na naftovod, bolnice, pa čak i gubitka života, predstavlja ozbiljnu pretnju i opasan trend.