Kun Venäjä aloitti sodan Ukrainaa vastaan, Pietarista käsin toimiva hakkeriryhmä Wizard Spider ilmoitti tukevansa Venäjän sotatoimia. Wizard Spider ei ole mikä tahansa hakkeriryhmä. Se on maailman menestyksekkäin verkkorikollissyndikaatti.
Kiristysohjelmia kehittävä Wizard Spider tunnetaan useilla nimillä. Näitä ovat muun muassa Trickbot ja Conti. Conti on hakkeriryhmän menestyksekkäin työkalu. Se salaa hetkessä kohdejärjestelmän tiedot ja sulkee oikean käyttäjän järjestelmän ulkopuolelle.
Lohkoketjuihin erikoistuneen Chainalysis-sivuston mukaan pelkästään Conti-kiristysohjelma tuotti hakkeriryhmälle viime vuonna 165 miljoonaa euroa.
Conti-hyökkäykset ovat pääsääntöisesti kohdistuneet länsimaihin. Niitä on tehty myös Suomessa toimivia yrityksiä vastaan.
Nyt tietoon on tullut tapauksia, joissa Conti-haittaohjelma on iskenyt venäläisiin järjestelmiin. Iskujen taustalla on hakkeriryhmään kohdistunut tietovuoto, joka paljasti ryhmän salaisuudet.
Suunnitelmissa kasinoita ja kryptoalustoja
Kolme päivää Vladimir Putinin sodanjulistuksen jälkeen internettiin ilmestyi yli 60 000 Conti-ryhmän sisäistä viestiä. Nimettömänä pysyttelevä ukrainalainen tietoturvatutkija oli aikaisemmin murtautunut Contin palvelimelle ja kun ryhmä ilmoitti tukevansa Venäjää, hän päätti vuotaa ryhmän sisäisiä keskusteluja nettiin.
Tähän mennessä vuotoaineisto on kasvanut yli 200 000 viestiin. Vuoto muun muassa paljastaa, että joillakin Wizard Spiderin jäsenistä on kytköksiä Venäjän hallintoon. Hakkereiden kesken on käyty keskusteluja verkkohyökkäyksistä niin oppositiojohtaja Aleksei Navalnya kuin kansainvälistä tutkivan journalismin Bellingcat-verkostoa vastaan.
Tietoturva-ammattilaisille vuoto on antanut mahdollisuuden tutustua menestyksekkään verkkorikollisryhmän toimintaan.
– Mielenkiintoista on se, miten tuollainen organisaatio toimii. Minkälainen sisäinen kulttuuri siellä on, kuka päättää asioita, minkälaisia työkaluja he käyttävät, mitkä ovat heidän tulevaisuuden suunnitelmat, WithSecuren tietoturvakonsultti Laura Kankaala luettelee.
Tähän mennessä vuodetut tiedot osoittavat, että Wizard Spider on järjestelmällinen organisaatio, joka kykenee toipumaan viranomaisten vastahyökkäyksistä. Toiminta on hajautettua, mikä lisää ryhmän kykyä kestää erilaisia hyökkäyksiä.
Hakkeriryhmän tulevaisuuden suunnitelmat ovat kunnianhimoisia. Sisäisissä keskusteluissa pohditaan muun muassa kasinon perustamista tai kryptovaluuttoihin perustuvan ekosysteemin luomista. Kryptoalustan osalta koodaaminen on jo aloitettu.
– Kun rahaa on paljon, niin se mahdollistaa monia asioita – myös rikollisorganisaatiolle. Siellä on mielenkiintoa tutkia muita vaihtoehtoja kiristysohjelma-liiketoiminnalle, Kankaala sanoo.
Conti-haittaohjelman lähdekoodi kaikkien saatavilla
Sisäisten keskustelujen ja tulevaisuuden suunnitelmien lisäksi vuoto sisälsi Conti-kiristysohjelman lähdekoodin ja salauksen purkuun käytettäviä avaimia. Tämä ei Kankaalan mukaan ole vakava takaisku ryhmälle.
– Toki siellä pitää nyt tehdä uutta koodia. Mutta lähdekoodin vuotaminen ei välttämättä tarkoita, että liiketoiminta pitäisi pistää tauolla, Kankaala kertoo.
Conti-hakkerit voivat pienillä muokkauksilla korjata tilanteen. Sen sijaan yksinoikeutta kehittämäänsä ohjelmaan heillä ei enää ole. Wizard Spider on jo aiemmin vuokrannut työkalujaan muiden käyttöön, mutta nyt tämän liiketoiminnan arvo romahti.
– Kun se lähdekoodi on vuotanut, niin nyt kuka tahansa voi ottaa sen ja käyttää sitä omiin tarkoituksiinsa, Kankaala sanoo.
Näin näyttää jo käyneen.
Kuukausi sitten Anonymous-hakkeriryhmään löyhästi linkittyvä NB65-ryhmä kertoi murtautuneensa Venäjän avaruushallinnon Roscosmosin järjestelmiin ja varastaneensa sieltä tietoja. Verkkohyökkäystä analysoineen Intezer Analyze -yhtiöön mukaan hyökkäyksessä käytetyn haittaohjelman lähdekoodista 66 prosenttia oli peräisin Contista. Asiasta kertoo The Telegraph -lehti.
Kiristysohjelmat vaativat teknistä kyvykkyyttä ja organisoitua toimintaa
Contin lähdekoodin leviäminen on yksi haaste lisää tietoturvakentällä. Kankaala huomauttaa, että hakkerit ovat aina ottaneet uudet työkalut innolla käyttöön. Kun Yhdysvaltain kansallisen turvallisuusviraston NSA:n hakkerointityökalut vuotivat vuonna 2017 julkisuuteen, kesti vain muutama kuukausi, että niillä kylvettiin tuhoa eri puolilla verkkoa.
Tähän asti Conti-hyökkäykset ovat kohdistuneet toimijoihin, joilla on varaa ja halua maksaa lunnaat. Kiristysohjelmiin erikoistuneen Coveware-yhtiön mukaan Conti-hyökkäyksestä maksetut lunnaat ovat keskimäärin reilut 700 000 euroa.
– Hakkerit ovat pyrkineet löytämään sellaisia yrityksiä, joilla on rahaa ja joiden liiketoiminta herkkä pienillekin viivästyksille, kuten esimerkiksi logistiikka-alalla, Kankaala sanoo.
Yksittäisten ihmisten koneiden salaaminen ei ole satojen miljoonien liikevaihtoa pyörittävällä syndikaatille kannattavaa.
Mutta kun haittaohjelman lähdekoodi on kaikkien saatavilla, kynnys saattaa madaltua. Kankaala kuitenkin muistuttaa, että pelkkä lähdekoodi ei riitä toiminnan kiristysliiketoiminnan käynnistämiseen ja pyörittämiseen.
– Tarvitaan ensin pääsy yrityksen järjestelmiin ja käsitys siitä, miten tietoa varastetaan, jotta tätä voidaan vuotaa rikollisorganisaation tietovuotosivustolla, jos lunnasmaksuja ei makseta. Tämän jälkeen pitää olla kyvykkyys operoida toimintaa, kuten vastaanottaa kryptovaluuttamaksuja. Tällaisen ketjun toimitukseen osallistuu useampi henkilö, Kankaala huomauttaa.
Lue myös: