Az elmúlt időszakban a kiberbűnözők elleni küzdő pandúrok nagy eredménye volt, hogy felszámolták a REvil zsarolószoftver-bandát. A Sodinokibi néven is emlegetett bűnöző szervezet több fontos tagját tartóztatták le Oroszországban, amit a nemzetközi sajtó átütő győzelemként tálalt. A ReversingLabs kibervédelmi cég elemzése alapján azonban mindez a helyzet teljes félreértelmezése.

Bő két hét telt el azóta, hogy az FSZB, azaz az orosz Szövetségi Biztonsági Szolgálat – egyébként amerikai kérésre – a kiberbűnöző csapat több fontos tagját letartóztatta. A statisztikák szerint azonban a REvil csoport, amely voltaképpen egy ransomware-as-a-service (RaaS) "vállalkozás", ugyanolyan aktív.

Nem feltétlenül politikai szemfényvesztés volt

Az orosz hatóságokat rendre az a vád éri, hogy bizonyos keretek között szabadon engedik garázdálkodni a kiberbűnözőket. Például mindaddig félrenéznek, amíg az bűnözői csoport ellenséges(nek minősülő) országokban indít támadásokat, és tabu számára minden (államilag védett) orosz szervezet. Az orosz hatóságok azonban jócskán rácáfoltak erre, amikor néhány hete a REvil csoport tizennégy tagját tartoztatták le, ráadásul amerikai szorgalmazásra. Ennek az akciónak különös árnyalatot ad az ukrán-orosz konfliktus, amelynek hatásai már a kibertérben is érzékelhetők.

Csakhogy a ReversingLabs statisztikái szerint a REvilnek továbbra is ugyanaz a támadási intenzitása, mint a letartóztatások előtt. Ez nem amiatt van, mert az oroszok álságos módon nem is tartóztatták le a kiberbűnözőket, vagy mert az igazi éceszgébereket futni hagyták.

Nehéz belelátni a kiberbűnözői hálózatok működésébe, sokszor csak közvetett adatokból lehet következtetni a csoportokon belüli és csoportok közötti mozgásokra. Tavaly például sokan úgy vélték, hogy a REvil már nem is aktív. Ehhez képest tavaly novemberben az Europol bejelentette, hogy letartóztattak hét személyt REvil és GandCrab zsarolóvírus-támadások gyanújával. A letartóztatások ellenére azonban a ReversingLabs naponta átlagosan közel ötven új REvil-fertőzést észlelt.

Az érdekes igazából az, hogy gyakoribbak voltak a fertőzési kísérletek, mint a letartóztatások előtt: októberben például naponta fele annyi új REvil-implantátumot regisztráltak, mint a novemberi Europol-akciót követő letartóztatások után. Ugyanez a tendencia érvényesült az orosz letartóztatások után is, igaz, enyhébb kivitelben: az FSZB-akció előtt napi 24, utána viszont  26 implantátumot regisztráltak a kutatók.

Ez a szokásos ügymenet

A kiberbiztonsági cég jelentése szerint az eddigi mintázatokból nagyon úgy tűnik, hogy a kiberbűnözői hálózatoknál ez a szokásos ügymenet. És itt jön igazán az elemzés legérdekesebb megállapítása: ezek a csoportok erősen építenek arra, hogy a kibervédelmi szabályozás (és a bűnözők elleni fellépés intenzitása) országonként változik. A csoportok ennek megfelelően építenek ki elosztott szervezeti struktúrát, amellyel az internet révén lényegében a világ bármely pontjáról végrehajthatnak határokon átnyúló támadásokat. Mint Andrew Yeates, a ReversingLabs vezető kutatója mondta, ez a struktúra nagyon megnehezíti a nemzeti és nemzetközi bűnüldöző szervezeteknek, hogy fellépjenek a REvil és a hozzá hasonló csoportok ellen.

A REvil infrastruktúrája elleni összehangolt fellépésnek lehetnek rövid távú hatásai egy-egy ransomware-as-a-service (RaaS) szolgáltatásra, de a mérhető adatok alapján ez önmagában kevés. A REvil jól mutatja, ezek a csoportok hogyan csökkentik működésük sérülékenységét. A konkrét támadásokat a "leányvállalatok" indítják. Ha ezek többségét felszámolják, átmenetileg csökkenhet ugyan az aktivitás, de az "anyavállalat" (amely általában a ransomware fejlesztését végzi) a megmaradó hálózatára építve gyorsan újjáépítheti a rendszert. Ha ellenben az anyavállalatot sikerül felszámolni, a leányvállalatok kezében van olyan tudás, amire alapozva újraépíthetik a rendszert, vagy csatlakozhatnak egy másik RaaS-hoz is.