Wprowadzenie do problemu / definicja
Botnet to sieć przejętych urządzeń, które są zdalnie kontrolowane przez cyberprzestępców w celu realizacji złośliwych operacji. Tego typu infrastruktura może służyć do rozsyłania spamu, dystrybucji malware, kradzieży danych, a także sprzedaży dostępu innym grupom specjalizującym się w kolejnych etapach ataku, w tym wdrażaniu ransomware.
Najnowsza sprawa karna w Stanach Zjednoczonych pokazuje, iż operatorzy zaplecza technicznego również pozostają w centrum zainteresowania organów ścigania. Rosyjski obywatel Ilya Angelov został skazany za współprowadzenie botnetu, który był wykorzystywany do wspierania ataków ransomware na dziesiątki amerykańskich przedsiębiorstw.
W skrócie
Ilya Angelov, 40-letni obywatel Rosji z Togliatti, usłyszał wyrok 24 miesięcy więzienia za udział w prowadzeniu botnetu wykorzystywanego w kampaniach ransomware. Oprócz kary więzienia sąd nałożył na niego grzywnę w wysokości 100 tys. USD oraz orzekł przepadek majątku o wartości 1,6 mln USD.
Z ustaleń amerykańskich śledczych wynika, iż infrastruktura była aktywnie wykorzystywana w latach 2017–2021. Efektem działalności grupy miały być infekcje ransomware w ponad 70 firmach w USA oraz straty przekraczające 14 mln USD w płatnościach wymuszeniowych.
Kontekst / historia
Według śledczych Angelov współzarządzał rosyjskojęzyczną grupą cyberprzestępczą identyfikowaną przez FBI jako Mario Kart. W środowisku analityków bezpieczeństwa aktywność tej infrastruktury była łączona także z innymi oznaczeniami, w tym TA551, co pokazuje typowy problem atrybucji w analizie współczesnych kampanii cyberprzestępczych.
Grupa działała zgodnie z modelem usługowym, który jest dziś powszechny w podziemnym ekosystemie. Zamiast samodzielnie realizować cały łańcuch ataku, operatorzy skupiali się na budowie i utrzymaniu infrastruktury infekującej hosty, a następnie sprzedawali dostęp do przejętych systemów innym podmiotom. To przykład specjalizacji, w której różne grupy odpowiadają za początkową kompromitację, utrzymanie dostępu, eskalację uprawnień i końcowe wdrożenie ransomware.
Analiza techniczna
Mechanizm działania operacji był oparty na dobrze znanym, ale przez cały czas skutecznym modelu. Botnet budowano poprzez kampanie spamowe zawierające złośliwe załączniki. Po ich otwarciu na urządzeniu ofiary uruchamiany był kod malware, który zapewniał przestępcom zdalny dostęp i pozwalał włączyć system do infrastruktury botnetowej.
Taki model zapewniał operatorom kilka istotnych korzyści operacyjnych:
- umożliwiał masowe pozyskiwanie punktów wejścia do sieci organizacji,
- pozwalał sprzedawać sam dostęp bez konieczności samodzielnego wdrażania ransomware,
- utrudniał bezpośrednie powiązanie operatorów botnetu z końcowym wymuszeniem,
- zwiększał skalę działalności dzięki współpracy z wieloma grupami przestępczymi.
Z ujawnionych informacji wynika, iż grupa sprzedawała dostęp do pojedynczych zainfekowanych systemów innym aktorom zagrożeń. Jeden z podmiotów korzystających z tej infrastruktury miał doprowadzić do infekcji ransomware w ponad 70 amerykańskich firmach, generując ponad 14 mln USD płatności wymuszeniowych. Dodatkowo inna grupa przestępcza miała zapłacić operatorom botnetu ponad 1 mln USD za sam dostęp do zainfekowanej infrastruktury.
Sprawa dobrze ilustruje łańcuch wartości w cyberprzestępczości. Spam i malware tworzą warstwę początkowego dostępu, botnet pełni rolę platformy pośredniej, a ransomware staje się końcowym etapem monetyzacji. Taki podział zwiększa odporność operacyjną przestępców i utrudnia skuteczne przerwanie całego schematu na wczesnym etapie.
Konsekwencje / ryzyko
Z perspektywy organizacji biznesowych sprawa pokazuje, iż choćby pozornie ograniczona infekcja pochodząca z kampanii spamowej może stać się początkiem pełnoskalowego incydentu ransomware. Pierwotne naruszenie bezpieczeństwa często nie jest celem samym w sobie, ale elementem szerszego modelu sprzedaży dostępu.
Najważniejsze ryzyka obejmują:
- utratę dostępności systemów i przestoje operacyjne,
- straty finansowe wynikające z wymuszenia oraz kosztów odtworzenia środowiska,
- lateralizację w sieci po uzyskaniu pierwszego dostępu,
- kradzież lub wyciek danych przed zaszyfrowaniem zasobów,
- konsekwencje prawne, kontraktowe i reputacyjne.
Model access-as-a-service dodatkowo obniża próg wejścia dla innych grup ransomware. W praktyce oznacza to, iż organizacja może zostać zaatakowana nie przez operatora pierwotnej infekcji, ale przez zupełnie inny podmiot, który kupi gotowy dostęp do jej środowiska.
Rekomendacje
Aby ograniczyć ryzyko podobnych incydentów, firmy powinny stosować wielowarstwowe podejście do ochrony, obejmujące zarówno prewencję, jak i szybkie wykrywanie aktywności po kompromitacji. Szczególne znaczenie ma zabezpieczenie poczty elektronicznej, ponieważ to ona często pozostaje głównym wektorem wejścia.
- wzmacnianie ochrony poczty elektronicznej, w tym filtrowanie załączników i sandboxing,
- blokowanie uruchamiania nieautoryzowanych plików i makr,
- wdrażanie rozwiązań EDR lub XDR do wykrywania infekcji i anomalii procesowych,
- segmentacja sieci i ograniczanie komunikacji między strefami,
- stosowanie zasady least privilege oraz kontroli kont uprzywilejowanych,
- regularne aktualizacje systemów, aplikacji i narzędzi bezpieczeństwa,
- monitorowanie wskaźników kompromitacji powiązanych z kampaniami spamowymi i malware,
- testowanie procedur reagowania na incydenty oraz odtwarzania po awarii,
- utrzymywanie odseparowanych kopii zapasowych i regularne testy ich odtworzenia,
- szkolenie użytkowników w zakresie rozpoznawania złośliwych wiadomości i załączników.
W praktyce każda infekcja malware powinna być traktowana jako potencjalny etap wstępny do ransomware. Zespoły bezpieczeństwa powinny zakładać możliwość dalszej monetyzacji uzyskanego dostępu i reagować z najwyższym priorytetem już przy pierwszych oznakach kompromitacji.
Podsumowanie
Wyrok wobec Ilyi Angelova pokazuje, iż organy ścigania koncentrują się nie tylko na operatorach ransomware, ale również na osobach utrzymujących infrastrukturę dostępową. To istotny sygnał dla branży, ponieważ współczesna cyberprzestępczość coraz częściej opiera się na specjalizacji, handlu dostępem i ścisłej współpracy między różnymi grupami.
Dla obrońców najważniejszy wniosek jest jednoznaczny: kampanie spamowe, infekcje loaderami i aktywność botnetów nie powinny być traktowane jako incydenty o ograniczonym znaczeniu. Bardzo często są one pierwszym etapem znacznie poważniejszego ataku na całą organizację.
Źródła
- Russian national convicted for running botnet used in attacks on U.S. firms — https://securityaffairs.com/189987/cyber-crime/russian-national-convicted-for-running-botnet-used-in-attacks-on-u-s-firms.html
- Russian cybercriminal sentenced to prison for using a “botnet” to steal millions from American businesses — https://www.justice.gov/usao-edmi/pr/russian-cybercriminal-sentenced-prison-using-botnet-steal-millions-american-businesses