Ko varnostniki postanejo hekerji: primer, ki je stresel kibernetski svet

Nekateri dnevi v IT-ju so dolgočasni: patch tuesday, redni backup, občasna skodelica kave med opazovanjem logov. In potem pride dan, ko izveš, da so ljudje, ki jih podjetja najemajo, da jih ščitijo pred ransomware napadi, dejansko tisti, ki napade izvajajo.

Zveni kot slaba šala ali scenarij za nadaljevanje filma Mr. Robot — ampak tokrat gre za resničen primer. Ameriško ministrstvo za pravosodje je namreč obtožilo dva strokovnjaka za kibernetsko varnost, ki naj bi vodila lastno ransomware operacijo. In ne, nista bila najstnika v kleti, ampak visoko usposobljena strokovnjaka z zvenečimi položaji.

Kako se je vse začelo

V začetku novembra 2025 je ameriško tožilstvo razkrilo obtožnico proti trojici oseb, od katerih sta dve delali v podjetjih, ki se ukvarjata z informacijsko varnostjo. Njuni imeni: Ryan Clifford Goldberg in Kevin Tyler Martin.

Goldberg je bil zaposlen pri podjetju #Sygnia kot vodja za odziv na incidente – torej človek, ki pride, ko podjetje že postane žrtev napada, da pomaga omejiti škodo. Martin pa je delal pri #DigitalMint, kjer je bil tako imenovani ransomware negotiator – tisti, ki se pogaja s #kriminalci za nižjo odkupnino, če podjetje že pade v past.

Ironično, oba sta torej živela od boja proti napadom. In oba sta, če verjamemo obtožnici, napade tudi izvajala.

Kriminalna simfonija z imenom ALPHV / BlackCat

Njuna izbira orodja ni bila naključna. Obtožena naj bi sodelovala z eno najbolj znanih ransomware skupin zadnjih let – #ALPHV, poznano tudi pod imenom #BlackCat.

BlackCat je bil eden prvih večjih ransomware sistemov, napisanih v programskem jeziku #Rust. To pomeni, da ni šlo za tipično “copy-paste” orodje iz darknet foruma, temveč za profesionalno zasnovano ogrodje, ki deluje po modelu RaaS – ransomware-as-a-service.

Kaj to pomeni?
Nekdo razvije in vzdržuje orodje (v tem primeru BlackCat), drugi pa ga uporabljajo za napade. Dobiček si razdelijo: 70–80 % napadalcu, 20–30 % razvijalcu. Kot Uber, samo da namesto vožnje strank zaklepaš datoteke.

#ZDA so že decembra 2023 razbile del infrastrukture BlackCat, vendar skupina ni nikoli zares izginila – le preimenovala se je, kot je v svetu kibernetske kriminalitete že skoraj tradicija.

Kako so jih ujeli

#Preiskava se je začela, ko je več ameriških podjetij poročalo o zelo “profesionalno” izvedenih napadih. Napadalci so se znali hitro premakniti po omrežju, uporabljali so ustrezno terminologijo in orodja, poznali odzivne postopke podjetij. 

Fun fact: eno izmed podjetij, ki je bilo napadeno, je že prej sodelovalo s Sygnio – podjetjem, kjer je bil zaposlen Goldberg.

Preiskovalci so sledili transakcijam v kriptovaluti, analizirali vzorce napadov in zaznali presenetljivo podobnost v slogih komunikacije. Nekateri “ransom notes” so vsebovali celo drobne jezikovne posebnosti, ki so bile značilne za prejšnje uradne komunikacije zaposlenih. Ko so začeli povezovati IP-naslove, časovne vzorce in kripto-denarnice, so se krogi zožili. In ko so pristojni organi pridobili nalog za preiskavo domačih računalnikov osumljencev, so našli vse, kar so potrebovali:

• kopije izsiljevalskih sporočil,

• orodja za šifriranje,

• evidence o pogajanjih z žrtvami,

• in, da bo ironija popolna – dokumentacijo o postopkih odziva na ransomware napade, ki sta jih pisala za stranke.

Finančna dimenzija

Po uradnih podatkih naj bi napadi med majem in novembrom 2023 prizadeli vsaj pet ameriških podjetij, v zveznih državah Kalifornija, Florida, Virginia in Maryland. Zahteve po odkupnini so znašale med 300.000 in 10 milijoni dolarjev, ena žrtev pa naj bi plačala 1,27 milijona.

Zakaj je ta primer tako poseben

Ransomware napadi niso nič novega. Po podatkih FBI so se v zadnjih petih letih povečali za več kot 400 %. Ampak tokrat ni šlo za običajne kriminalce – šlo je za notranje strokovnjake, ljudi, ki so imeli znanje, dostop in predvsem zaupanje podjetij.

Ko strokovnjak za varnost zlorabi svoje znanje, to ni le kaznivo dejanje. To je udarec v srce zaupanja celotne varnostne industrije.

Še huje – ko so tekom pogajanj o odkupnini sodelavci Martina in Goldberga poskušali pomagati žrtvam, so dejansko komunicirali s svojimi kolegi. 

Kaj se iz tega lahko naučimo

1. Notranja grožnja je realna.
   Mnoga podjetja se še vedno osredotočajo samo na zunanjo zaščito – požarni zid, antivirus, VPN. Ampak če imaš v ekipi nekoga, ki ve, kako sistem diha, so vsi  varnostni ukrepi sveta zaman.
   
   

2. Model zaupanja se mora spremeniti.
   “Trust but verify” ni več dovolj. Novi pristop mora biti “Never trust, always verify.” Zato koncept "zero trust architecture" ni samo zveneča fraza, ampak dejanska potreba.
   
   

3. RaaS je novi “franšizni” kriminal.
   Tako kot imaš McDonald’s na vsakem vogalu, imaš danes ransomware “franšize”. Vse, kar potrebuješ, je dostop in nekaj etično dvomljivih odločitev. In ko k temu dodaš insiderja, dobiš popolno nevihto.

Kaj pomeni za podjetja

Podjetja, ki se ukvarjajo s kibernetsko varnostjo, bodo po tem primeru morala ponovno premisliti o svojih notranjih politikah. Redne varnostne preglede, preverjanje zaposlenih, revizije dostopov in analizo dejavnosti bi morali izvajati enako strogo kot pri svojih strankah.

Prav tako bi bilo smiselno, da podjetja, ki najemajo zunanje svetovalce za odziv na incidente, zahtevajo neodvisno potrdilo o integriteti ali celo preverjanje preteklih projektov. Če se izkaže, da so “reševalci” v resnici tisti, ki so povzročili požar, postane vse, kar gradiš na varnosti, le iluzija.

BlackCat

BlackCat je zanimiv tudi iz tehničnega vidika.

• Ransomware je napisan v Rustu, kar mu omogoča hitro delovanje, boljšo varnost pred razhroščevalniki in večjo fleksibilnost.
• Deluje na Windows, Linux in celo ESXi strežnikih.
• Ima modularno strukturo, podpira dvojno izsiljevanje (šifriranje + kraja podatkov) in uporablja AES-128 ali ChaCha20 za šifriranje datotek.

Zaradi teh lastnosti je BlackCat postal ena najresnejših groženj zadnjih let. In zdaj vemo, da ni bil rezerviran samo za “temno stran interneta”, ampak ga je uporabljal tudi delček “bele” ekipe.

Ime BlackCat (oz. ALPHV) ni naključno izbrano, ampak je delno simbolično, delno tehnično in — po nekaterih virih — celo malo “marketinško”.



1. Simbolika: mačka kot metafora
V svetu kibernetske kriminalitete so “temne” ali “nočne” živali pogost motiv. Mačka (še posebej črna) ima dolgo zgodovino kot simbol prikritosti, agilnosti in skrivnostnosti — lastnosti, ki jih hekerji radi pripisujejo sami sebi. Črna mačka se premika neopazno, vidi v temi, in udari, ko najmanj pričakuješ. To je natančno tisto, kar ransomware skupine želijo sporočiti: “nevidni smo, a vedno gledamo”.

2. Tehnični razlog: datotečna končnica *.cat 
Ransomware, ki ga uporabljajo, je znan po tem, da datotekam po šifriranju doda končnico .cat. To ni samo okras — to je njihov “podpis”. Tako kot stare različice Locky dodajo .locky, WannaCry .wncry ipd. Pri BlackCatu je bila izbira končnice (in s tem imena) zavestna, ker se ujema s kratko, zapomljivo znamko, ki deluje tako tehnično kot simbolno.

3. Marketinški učinek v darknet svetu
V RaaS (Ransomware-as-a-Service) modelu skupine tekmujejo za “stranke” — torej druge kriminalce, ki bodo uporabljali njihovo infrastrukturo. Ime mora biti prepoznavno in enostavno za zapis, hkrati pa imeti “ugled”. BlackCat se sliši profesionalno, skrivnostno in v hekerskih krogih celo elegantno. Zanimivo je, da so imeli celo svoj logotip: črno mačko z zelenimi očmi, ki se je pojavljala na njihovih “leak” straneh na darknetu.

4. Evolucija iz prejšnjih skupin
Analize (npr. iz FBI-jevega poročila decembra 2023) kažejo, da so bili člani BlackCat pred tem povezani s skupinami DarkSide in BlackMatter, ki so bile znane po napadu na Colonial Pipeline. Ko so te skupine izginile, je nova generacija uporabila novo ime — bolj “mehko” in manj neposredno povezano s preteklostjo. BlackCat je tako postal njihova nova preobleka, z istimi ljudmi v ozadju, a s svežim brandom.

5. Ironičen detajl
Eden izmed raziskovalcev je zapisal, da je “BlackCat verjetno izbral ime, ker mačke vedno pristanejo na nogah – tudi če padejo.” Tako kot hekerske skupine, ki po vsaki razbitju infrastrukture spet vstanejo in nadaljujejo pod novim imenom.

Reakcije podjetij

Tako Sygnia kot DigitalMint sta hitro izjavili, da nista imeli nobene povezave z dejanji zaposlenih. Oba sta bila po ugotovitvi preiskave odpuščena. Podjetji sodelujeta z organi pregona in poskušata zamejiti reputacijsko škodo... Toda škoda za industrijo je že narejena.

Vsaka tovrstna afera povzroči val dvomov v celotno stroko. Če lahko varnostni strokovnjaki zlorabijo svoje položaje, kako lahko podjetja še verjamejo komu?

Širši vpliv

Ta primer bo imel posledice daleč preko meja ZDA. Varnostne agencije in regulatorji bodo verjetno začeli uvajati dodatne smernice in morda celo licenciranje varnostnih strokovnjakov – podobno kot zdravniki ali odvetniki. Morda bo prišel čas, ko bo moral vsak strokovnjak, ki se ukvarja z odzivom na incidente ali digitalno forenziko, pridobiti certifikat etične zanesljivosti.

Fun facts...

Kriptovalute in sledi:
čeprav mnogi mislijo, da je Bitcoin anonimen, je prav sledenje verigi transakcij pomagalo razkriti vzorec pranja denarja.

Rust kot hekerski jezik:
v zadnjih dveh letih se Rust vse pogosteje pojavlja pri zlonamerni kodi, ker omogoča višjo učinkovitost in manjšo odvisnost od sistemskih knjižnic.

BlackCat je bil prvi ransomware, ki je uporabljal IPFS (InterPlanetary File System) za objavo ukradenih podatkov.
IPFS je eden tistih projektov, ki zveni kot iz znanstvene fantastike, a v resnici rešuje zelo praktičen problem: kako ohraniti internet trajen, decentraliziran in odporen na cenzuro. Gre za porazdeljen sistem za shranjevanje in deljenje datotek, ki deluje podobno kot BitTorrent, le da z veliko več pameti. Namesto da bi podatke pridobival po naslovu strežnika (npr. https://primer.si/datoteka.jpg), ga IPFS poišče po vsebini – torej po kriptografskem hashu. Če imaš datoteko z določenim hashom, IPFS ve, da gre za točno tisti kos podatkov – ne glede na to, kje na svetu je shranjen... kar naj bi pomenilo da so bili podatki shranjeni v decentraliziranem omrežju, kjer jih ni mogoče enostavno izbrisati.

Za konec

Primer Goldberg–Martin ni le še ena zgodba o kibernetskem kriminalu. Je zgodba o dveh ljudeh, ki sta stopila čez mejo med zaščito in napadom. O tem, kako tanka je lahko linija med etiko in skušnjavo, ko imaš dostop, znanje in priložnost. Za industrijo pa je to opozorilo, da varnost ni samo tehnologija, ampak predvsem ljudje.
Najbolj napreden sistem na svetu nič ne pomaga, če imaš v ekipi nekoga, ki zna – in hoče – obiti lastna pravila. Varnost torej ni le stvar požarnih zidov in antivirusov, temveč kulture.

In če nas ta primer česa nauči, je to, da mora biti osnovno pravilo v vsaki varnostni ekipi:
Varnost je iluzija, Preveri, preveri in še enkrat preveri.

#News #ransomware #varost #BlackCat #ALPHV #RaaS #preveri #groznja #digitalnaforenzika #cybercrime #kripto #pravosodje #PCpodpora #server #odkupnina.

za PCpopdora.si
Sebastjan Dobnik

---

Oglejte si tudi:

#Sygnia #DigitalMint #kriminalci #ALPHV #BlackCat #Rust #ZDA #Preiskava #News #ransomware #varost #RaaS #preveri #groznja #digitalnaforenzika #cybercrime #kripto #pravosodje #PCpodpora #server #odkupnina