Dziennikarze Washington Post opublikowali wczoraj artykuł dotyczący zakończenia działalności przez grupę REvil na skutek akcji przeprowadzonej przez Amerykańskie Cyber Command – dowództwo sił cybernetycznych. Ukrócenie poczynań REvil jest z pewnością dobrą informacją dla wszystkich – przestępcy są odpowiedzialni choćby za ataki ransomware na Kaseye czy JBS i zatruli życie wielu firm. Najbardziej intersujący jest jednak wątek tego co bezpośrednio doprowadziło do operatorów REvil do zwinięcia operacji – sama operacja Cyber Command nie polegała bowiem na destrukcyjnych działaniach jak zniszczenia danych na serwerach C2, tylko na przejęciu strony w sieci Tor którą przestępcy wykorzystywali do szantażowania ofiar i wyłudzania okupów. W istocie było więc to jedynie utrudnienie prowadzenia działalności – z pewnością spowolniłoby to chwilowo działania grupy, jednak nie uderzało trwale w kluczowe elementy operacji.
Na szczęście REvil samo zapewniło wgląd w motywacje swojej decyzji dyskutując o przebiegu zdarzeń na Rosyjskojęzycznym forum. Jak relacjonuję Washington Post, w październiku przestępcy zauważyli przejęcie domeny co skłoniło ich do sprawdzenia serwerów pod kątem śladów włamania. I o ile w pierwszej chwili grupa nie odkryła nic niezwykłego, to bliższe spojrzenie najwyraźniej przyniosło niemiłe zaskoczenie kiedy odkryto włamanie przeprowadzone przez służby latem tego roku:
“The server was compromised,” he wrote hours later, “and they are looking for me.” And then: “Good luck everyone, I’m taking off.”
Najwyraźniej więc 0_neday, bo takim nickiem na forum posługiwał się przywódca grupy, stwierdził, że włamanie oznacza, że służby już na tyle są zainteresowane działalnością REvil, że dalsze działania nie są warte potencjalnego ryzyka. Z całej tej sytuacji wynika conajmniej kilka ciekawych wniosków.
Po pierwsze, jest to chyba pierwsza ujawniona operacja w której Cyber Command podjęło działania zaczepne wobec grupy ransomware. Jeżeli odwołamy się do modelu działań obronnych Course of Action Matrix to operacja Cyber Command mieści w ramach Disrupt lub Degrade, skłaniając się raczej ku Degrade. Przekierowanie ruchu i przejęcie domeny samo w sobie nie uniemożliwiłoby zbierania okupów, jednak tymczasowo zmniejszyłoby tempo działań.
Po drugie, dzięki relacji na żywo zapewnianej przez samych zainteresowanych na forum Cyber Command (i reszta świata) niejako otrzymało informacje zwrotną co do skuteczności różnych rodzajów działań w odstraszaniu operatorów ransomware. O ile samo przejęcie domeny nie wzbudziło paniki, to odkrycie śladów włamań sugerujące zainteresowanie służb błyskawicznie doprowadziło do zaprzestania rozpowszechniania malware’u, rekrutowania nowych partnerów i negocjacji co do okupu. Oczywistym wnioskiem jest to, że to właśnie groźba ujawnienia tożsamości, aresztowania, czy bardziej ogólnie pociągnięcie do odpowiedzialności karnej stanowią motywacje do zakończenia tej bardzo dochodowej działalności. Wniosek ten w pewnym stopniu pokrywa się ze stanowiskiem jakie prezentowałem w wystąpieniu które nagrywałem dla Cambridge International Symposium on Economic Crime – skuteczność w zwalczaniu ransomware będzie wprost proporcjonalna do tego jak zaangażowane i chętne do współpracy będą państwa na terenie których grupy działają. Jest tutaj jednak pewien bardzo istotny haczyk – lider REvil w istocie nie wiedział jakie służby i z którego kraju dokonały włamania na serwer, sam fakt potencjalnego zainteresowania był wystarczający do spłoszenia przestępców. Bardzo interesujące będzie więc to stanie się dalej, i czy wiedza, że za operacje odpowiedzialne są agencje z USA sprawi, iż grupa wznowi aktywność licząc na dalszą nietykalność w Rosji. Z drugiej strony zainteresowanie organów ścigania dotyczy nie tylko bezpośrednich członków REvil. Grupa działała na zasadzie Ransomware-as-a-service rekrutując partnerów którzy infekowali systemy w zamian za udział w zyskach, i którzy teraz prawdopodobnie dwa razy przemyślą czy chcą się zaangażować w tak, nazwijmy to wysoce medialną, działalność. W końcu widząc jaki popłoch wzbudziło samo zainteresowanie, Amerykańskie agencje mogą sięgnąć po ulubioną ostatnimi czasy broń przeciwko cyberprzestępcom – akty oskarżenia w których ujawniają tożsamość sprawców. O ile w przypadku oficerów wywiadu trudno oczekiwać aby przynosiły one spektakularne efekty (to czy w ogóle można odstraszyć państwa od prowadzenia działalności wywiadowczej to temat na osobny post) to już przestępcy chcący przede wszystkim zarobić i potencjalnie w przyszłości żyć w luksusie w wybranym kraju mogą boleśnie odczuć publikacje swojego wizerunku. Nie wspominając już o partnerach REvil żyjących w krajach w których działa Europol.
Jak widzimy wszystko sprowadza się więc do oceny ryzyka. Tak jak w środowisku korporacyjnym niektóre ryzyka się akceptuje inne nie, tak organy ścigania trafiły chyba w końcu na czuły punkt nie do zaakceptowania przez przestępców. Pozostaję więc życzyć innym operatorom ransomware podobnie konserwatywnego podejścia do akceptowalnego ryzyka i rychłego końca działalności.