Uderzenie w członków gangu randsomware REvil przez agentów krajowych sił bezpieczeństwa Kremla 14 stycznia wywołało falę niepokoju i strachu w rosyjskim podziemiu cyberprestępczym, twierdzi Trustwave SpiderLabs. „Natrafiliśmy na ogromną ilość niepokoju i konsternacji ze strony tych, którzy uczestniczą w tych forach Dark Web w odniesieniu do aresztowań FSB i tego, jak te działania wpłyną na nich w przyszłości" – czytamy na firmowym blogu Trustwave. „W komentarzach wspominano o ogólnym strachu przed aresztowaniem, możliwości, że ich ojczyzna nie jest już bezpieczną przystanią, i że współpraca ze Stanami Zjednoczonymi i Rosją będzie problemem dla ich operacji w przyszłości” - dodano na blogu. Przytoczono wypowiedź jednego z forumowiczów, który oświadczył: „To jest duża zmiana. Nie mam ochoty iść do więzienia".

Działania władz rosyjskich wymierzone w ransomware są rzadkością

Po prawie tygodniu monitorowania pogawędek na rosyjskich forach hakerskich zauważyliśmy ogromną zmianę w stosunku do przeszłości w tonie wśród członków miejsc spotkań online, mówi wiceprezes SpiderLabs ds. badań nad bezpieczeństwem Ziv Mador. „W przeszłości cyberprzestępcy czuli się w Rosji bardzo bezpiecznie”- mówi. „Tak długo, jak nie atakowali lokalnych celów, czuli, że nic im się nie stanie. Rosyjscy cyberprzestępcy byli aresztowani podczas podróży poza granice kraju, ale tym razem zostali zatrzymani w rosyjskich miastach” - kontynuuje. „To był dla nich szokujący moment”.

Zobacz również:

• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie
• Rzecznik Mety skazany przez rosyjski sąd na sześć lat więzienia

„Dotąd Rosja niemal nie podejmowała działań w związku z jakimkolwiek zgłoszeniem cyberprzestępstwa, szczególnie ransomware” - dodaje John Bambenek, główny łowca zagrożeń w Netenrich, firmie zajmującej się operacjami bezpieczeństwa IT i cyfrowego. „O ile nie dotyczy to wykorzystywania dzieci lub Czeczenów, współpraca z FSB (Federalna Służba Bezpieczeństwa Federacji Rosyjskiej) po prostu się nie zdarza”.

Czy rosyjski nalot był „pokazem” dla międzynarodowego audytorium?

Na forach monitorowanych przez SpiderLabs pojawiło się kilku sceptyków znaczenia nalotu REvil. Jeden z członków forum podniósł możliwość, że operacja FSB została w rzeczywistości sfingowana lub była jedynie „pokazem” dla międzynarodowych odbiorców - zauważa Trustwave. Ta myśl pozwoliła im zachować nadzieję, że posunięcie FSB nie zakończy się poważnymi karami dla aresztowanych.

„Wątpliwe jest, aby oznaczało to poważną zmianę stanowiska Rosji wobec działalności przestępczej w jej granicach - chyba, że jest ona wymierzona w obywateli rosyjskich - a raczej, że ich pozycja dyplomatyczna jest nie do utrzymania i musieli poświęcić kilka zbędnych rzeczy, aby powstrzymać poważniejsze naciski geopolityczne” - twierdzi Bambenek. „W ciągu trzech miesięcy, jeśli nie dojdzie do kolejnego poważnego aresztowania, można bezpiecznie założyć, że w podejściu Rosji nie zaszły żadne realne zmiany” - dodajeł Bambenek. „Niemniej jednak, jest to duże aresztowanie i będzie miało znaczący krótkoterminowy wpływ na ograniczenie ransomware”.

REvil był nieaktywny od miesięcy

Fakt, że FSB wzięła na cel REvil, który nie był publicznie aktywny w przeprowadzaniu ataków od października 2021 roku, jest również znaczący, dodaje Chris Morgan, starszy analityk wywiadu cyberzagrożeń z Digital Shadows, dostawcą rozwiązań ochrony przed zagrożeniami cyfrowymi. „Możliwe, że FSB dokonało nalotu na REvil, wiedząc, że grupa była wysoko na liście priorytetów dla USA, jednocześnie biorąc pod uwagę, że ich usunięcie miałoby niewielki wpływ na obecny krajobraz ransomware” - mówi.

Dirk Schrader, globalny wiceprezes w New Net Technologies, dostawcy oprogramowania bezpieczeństwa IT i zgodności, dodaje, że tylko czas pokaże, czy nalot REvil zmniejszy ataki ransomware. „Jest zbyt wcześnie, aby powiedzieć, czy taki poziom międzynarodowej współpracy przerodzi się w systemowe wysiłki, aby położyć kres powszechnym atakom ransomware. Tylko konsekwentne, zjednoczone wysiłki mające na celu pozbawienie atakujących jakiejkolwiek bezpiecznej przystani mogą zapewnić długoterminowe rezultaty”.

Źródło: CSO