Že skoraj 12 let je minilo od pojava prvega tako imenovanega izsiljevalskega virusa reveton. Dogodek predstavlja začetek industrije zlonamerne kode kot storitve (MaaS). Ta omogoča kriminalnim skupinam, da od posameznikov ali skupin s tehničnim znanjem najamejo zlonamerno kodo in se z njeno pomočjo okoristijo. Cene teh storitev so lahko smešno nizke. Nekaj se najde tudi za okoli 50 evrov na mesec ali pa za delež pridobljenih sredstev. Prav pojav možnosti najemanja zlonamerne kode je spodbudil izjemno rast incidentov z izsiljevalskimi virusi. Organi pregona se zoper ponudnike takšnih storitev vztrajno borijo, a ne z največjim uspehom.
Skupino LockBit, ki so jo Britanci zdaj zrušili, naj bi vodili ruski državljani, a uradnih povezav s Kremljem naj ne bi imeli. Domnevno je bil njihov motiv delovanja zlasti finančne narave. Generalni direktor NCA Graeme Biggar je po uspešni akciji pojasnil, da je bila skupina odgovorna za kar 25 odstotkov vseh kibernetskih napadov v zadnjem letu. Skupina, ki je začela delovati pred štirimi leti, je v času svojega obstoja izvedla napade na več kot 2000 žrtev z vsega sveta. Od njih so iztržili kar 120 milijonov dolarjev ali povprečno 60.000 dolarjev na napad. Skrb vzbujajoč podatek, ki so ga po zaslugi akcije potrdili organi pregona, je, da je hudodelska skupina še vedno shranjevala podatke svojih žrtev. Tudi tistih, ki so plačale odkupnino.
Napad z izsiljevalskim virusom načeloma poteka na dva načina. Po eni strani napadalci praviloma zašifrirajo okuženi sistem, s čimer onemogočijo ali vsaj otežijo delovanje podjetij, posameznikov oziroma vseh drugih oblik žrtev. Kdor ima dobro urejene in ažurne varnostne kopije, ki niso okužene, se nevšečnosti šifriranih podatkov lahko izogne z obnovitvijo sistema. Nekaj podatkov morda izgubi. Vsekakor pa je to bolje, kot če bi izgubili vse. Ker napadalci vedo za to možnost, s sistema hkrati snamejo podatke in žrtvam grozijo, da jih bodo objavili na spletu. Sem lahko sodijo najrazličnejše poslovne ali osebne skrivnosti. Objava teh podatkov je za žrtve lahko celo bolj škodljiva in nevarna kot zgolj njihova izguba. »Džentelmenska« ponudba, ki jo navržejo napadalci, se običajno glasi: »Vi nam plačajte odkupnino, mi vam vrnemo podatke in izbrišemo kopije z naših strežnikov.« Strokovnjaki za spletno varnost medtem opozarjajo, da nobena beseda hudodelskih družb ne zavezuje, da obljubljeni izbris nabranih podatkov tudi zares izvedejo. NCA je zdaj ugotovila, da se skupina LockBit tega dogovora dejansko ni držala.
Zašili so jih z njihovimi lastnimi prijemi
Zgodba pa ima tudi ščepec klasičnega britanskega ironičnega humorja. Europol je razkril, da se je operacija Kronos zoper LockBit začela aprila 2022 na željo francoskih oblasti. Poleg NCA in Europola so pri operaciji sodelovali tudi FBI in še agencije devetih drugih držav. Na koncu je organom pregona uspelo hudodelsko skupino zašiti prav z njihovimi lastnimi prijemi. V računalnike skupine jim je domnevno uspelo vdreti po zaslugi ranljivosti, ki jo je že avgusta 2023 odpravil varnostni popravek, a nekdo pri LockBitu očitno ni posodobil sistema. »Vdrli smo v omrežje hekerjev, prevzeli nadzor nad njihovo infrastrukturo in pridobili ključe, ki bodo žrtvam pomagali dešifrirati njihove sisteme,« je po operaciji novinarjem v Londonu razkril generalni direktor NCA Graeme Biggar. Tu pa se britanski humor šele začne. Britanski organi pregona so novico o opravljeni operaciji najprej delili prav na spletni strani skupine LockBit, ki jo je združba uporabljala za objavljanje ukradenih podatkov o žrtvah. Zdaj je na spletni strani mogoče najti opis delovanja združbe. Kot se za takšne spletne strani spodobi, pa so članom hudodelske združbe tudi zagrozili, da se bodo na strani kmalu pojavile dodatne podrobnosti. Šli so celo tako daleč, da so nekatere fotografije, ki so objavljene na zaseženi strani, hudomušno poimenovali »doesnt_look_good.png« (ni_videti_dobro.png) ali »this_si_bad.png« (to_je_slabo.png).
Zaseg strani pa še ne pomeni, da so organi pregona vpletene tudi prijeli. Velik del vodilnih članov združbe še ostaja na prostosti. ZDA so zato že razpisale nagrado v višini 15 milijonov dolarjev za podatke, ki bi pripomogli k prijetju osumljencev. Ker se jih večina domnevno skriva v Rusiji, bo to verjetno vse prej kot enostavna naloga. Zelo verjeten scenarij je tudi, da se bo skupina reorganizirala z novo infrastrukturo ali pa bodo člani postali aktivnejši v drugih skupinah.
