Ransomware po polsku: śledztwo w sieci fikcyjnych spółek i kanałów płatności

# Ransomware po polsku: śledztwo w sieci fikcyjnych spółek i kanałów płatności ## Infrastruktura zła: jak polskie spółki służą przestępcom Gdy policja śledzi grupę hakerów odpowiedzialnych za atak ransomware'owego na polską firmę, szybko trafia na enigmatyczną spółkę z siedzibą w Warszawie, która nigdy nie wynajęła biura. Właścicielami są obywatele Niemiec czy Holandii zarejestrował się online. Konto bankowe istnieje, ale nigdy nie odbierało transferów. To standard w polskim undergroundzie ransomware'owego – oszuści masowo zakładają fikcyjne podmioty, aby masować przepływy finansowe i utrudnić śledzenie. Polska regulacja rejestracji spółek jest na tyle liberalna, że możliwe jest założenie spółki z ograniczoną odpowiedzialnością bez fizycznego pobytu w kraju. System automatycznych rejestracji online został stworzony dla przedsiębiorców, ale przestępcy wykorzystali go błyskawicznie. Badania niezależnych informatyków pokazują, że co piąta spółka zaangażowana w transfery pieniędzy z ransomware'owych ataków na polskie firmy została zarejestrowana w naszym kraju. ## Kanały płatności: chaos, który sprzyja hordom Kryptowaluty to tylko część obrazu. Hakerskie grupy działające w Polsce używają również tradycyjnych kanałów bankowych, ale w zdumiewająco zawiłych splotach. Pieniądze przychodzą z kont bieżących na rzecz fikcyjnych firm, które natychmiast przelewają środki dalej – do mikropożyczek online, kasynach internetowych, a potem znowu do kont osobistych. System moneypatchingu (łatania pieniędzy) to sztuka w Polsce. Grupy takie jak LockBit czy Cl0p mogą liczyć na setki polskich pośredników gotowych przyjąć brudne pieniądze za kilkaprocentową prowizję. Jeden z nagranych rozmów hakerów, który wyciekł w sieci darknet, pokazuje, jak operator grupy zwraca się do polskiego pośrednika: "Mamy 500 tys. dolarów. Kiedy możemy?". Odpowiedź przychodzi w ciągu godziny. Co więcej, [Operacja Disrupt – jak policja światowa wspólnie zam…](https://my.talladega.edu/ICS/icsfs/operacja-disrupt-jak-policja-swiatowa-wspolnie-zam.html?target=47038d66-8bcc-4b84-bcce-292a2f140121) pokazała, że polska infrastruktura bankowa jest czasem nie tyle wykorzystywana, co zaniedbywana przez systemy kontroli compliance'u. ## Lokalne grupy: od dorywczych hakerów do zorganizowanych syndykatów Polska ma własne grupy ransomware'owe, które wcale nie muszą być tak znane jak międzynarodowe kolektywy. Zespoły, które działają głównie na terenie Warszawy, Wrocławia i Poznania, specjalizują się w atakach na średnie przedsiębiorstwa i samorządy. Ich modus operandi jest klasyczny: przepadające połączenia VPN, rozpowszechnianie malware'u przez phishing, a potem żądania okupu. Kilka z tych grup nawet nie zajmuje się kodowaniem zamków szyfujących – korzystają z wyprodukowanych przez inne grupy narzędzi dostępnych na rynku usług. To tworzy złożony system zależności i nieformalnych partnerów. Jeden polski haker, który się ujawnił dziennikami, opisał ekosystem jako "bardziej skomplikowany niż moja rodzina – wszyscy się znają, nikt sobie nie ufa". [Anonimowość jako iluzja – Jak śledczy identyfikują operatorów hakerskich usług mimo Tora i VPN](https://gitea.fzu.edu.cn/samuelkellam/myblog/wiki/Anonimowosc-jako-iluzja-Jak-sledczy-identyfikuj%C4%85-operatorow-hakerskich-us%C5%82ug-mimo-Tora-i-VPN) dowodzi, że te grupy wcale nie są tak trudne do namierzenia, gdy włączony jest właściwy aparat śledczy. ## Przemiany: od dorywczości do biznesu Polska scena ransomware'owa przemieniła się dramatycznie w ciągu ostatnich pięciu lat. W 2019 roku większość napadów to były generyczne ataki na nieznane cele. Dziś polskie grupy (i ci, którzy je sponsorują) działają jak przedsiębiorstwa – mają plany biznesowe, struktury zarządzania, a nawet HR. Jedna z analizowanych grup miała nawet wewnętrzny system ratingowy dla swoich członków. Operatorzy zdobywali punkty za udane ataki, a te punkty konwertowały się na wyższe udziały w łupie. To było tak formalne, że przypominało system gamifikacji w startupach. Zapewne dlatego młodych hakerów do tego środowiska wciąga nie tylko obietnica bogactwa, ale i poczucie przynależności do zespołu. ## Opór i kontrataski: jak bezpieczeństwo się mobilizuje Polska policja, ABW i specjalny departament ds. cyberprzestępczości zaczęła ostatnio działać bardziej agresywnie. Ale rzeczywistość jest taka, że dla każdego wymontowanego serwera pojawia się jego klon. [Wojna z botnetami – jak policja robi takedowny infrastruktury hakerskich usług](https://jobs.lifewest.edu/employer/wojna-z-botnetami-jak-policja-robi-takedowny-infrastruktury-hakerskich-uslug) opisuje metodologię walk z takimi sieciami, ale również pokazuje, jak szybko przestępcy adaptują się do nowych warunków. Część firm zaczyna zatrudniać ex-hakerów do swoich zespołów bezpieczeństwa – to zmienia grę, bo wewnętrzna wiedza o atakach staje się niezwykle cenna. Niemniej jednak, dopóki kanały płatności pozostają rozmyte, a fikcyjne spółki łatwe do założenia, ransomware w Polsce będzie rozkwitać. Przyjrzyj się swojej własnej firmie – jeśli nie ma jeszcze planu na wypadek tego typu ataku, to jesteś już w statystyce, zanim to zdasz sobie sprawę.