Cyberprzestępcy coraz częściej inwestują zarobione na atakach pieniądze w legalne biznesy – wynika z analizy ekspertów Sophos. Zakładają startupy, otwierają restauracje czy prowadzą kursy programowania. Według raportu State of Ransomware 2024 średnia wartość okupu płaconego przez firmy wyniosła dwa miliony dolarów – aż pięciokrotnie więcej niż rok wcześniej. Pozornie legalne biznesy pozwalają hakerom na upłynnianie dużych kwot bez pozostawiania śladów.
Ataki ransomware, kradzieże danych oraz phishing generują milionowe zyski, uzyskiwane głównie w kryptowalutach. Jak wynika z raportów Sophos, nawet 30% żądań okupu w ramach ataków ransomware opiewa na kwotę ponad 5 milionów dolarów. Kwestia tego, co dzieje się później z tymi pieniędzmi, nie przyciągała dotąd uwagi. Analitycy firmy Sophos przeanalizowali dyskusje przestępców na forach w darknecie, dostępne dane korporacyjne oraz ruchy portfelowe i odkryli, że nielegalnie pozyskane zyski są inwestowane zarówno w działalność przestępczą, jak i w legalne biznesy.
– Nie mówimy już tylko o tradycyjnym praniu brudnych pieniędzy. To, co obserwujemy w hakerskim podziemiu, to nowa forma przedsiębiorczej przestępczości – kryminaliści wchodzą na rynek jako legalni biznesmeni. Stając się pracodawcami i inwestorami, są paradoksalnie bardziej niewidoczni niż kiedykolwiek – wyjaśnia John Shier, Field CISO w Sophos.
W wielu przypadkach do nawiązywania kontaktów biznesowych oraz realizowania inwestycji cyberprzestępcy wykorzystują powszechnie znane kanały, takie jak Telegram czy WhatsApp Business. Firmy – przynajmniej na papierze – często wyglądają profesjonalnie, mają atrakcyjny dla inwestorów model biznesowy i sprawiają wrażenie w pełni legalnych.
Śladem okupów: nieruchomości, złoto, restauracje i NGO
Hakerzy lokują swoje środki w firmach i startupach z branży cyberbezpieczeństwa oraz IT. Pozwala im to na poszerzenie swojej wiedzy, zdobycie środków i infrastruktury na potrzeby kolejnych ataków. Analitycy Sophos zaobserwowali, że cyberprzestępcy inwestują też w organizacje pozarządowe czy instytucje edukacyjne, które pozwalają działać niezauważenie – zakładać szkoły programowania czy organizować projekty edukacyjne pod pozorem aktywności non-profit. Pranie pieniędzy ułatwiają też biznesy ze sporym przepływem gotówki i niewielkim nadzorem, takie jak restauracje i bary, ale też hurtownie tytoniu i alkoholu.
Środki z cyberataków lokowane są również w nieruchomościach, akcjach czy metalach szlachetnych (złoto, diamenty), które pozwalają hakerom na osiąganie stosunkowo łatwego i legalnego dochodu pasywnego. Transakcje najczęściej zawierane są w krajach o stabilnej jurysdykcji, takich jak Szwajcaria, USA czy Zjednoczone Emiraty Arabskie.
Oprócz prowadzenia legalnych biznesów, hakerzy wciąż działają też w szarej strefie. Prowadzą kasyna i inne usługi hazardowe, często rejestrowane w tzw. rajach podatkowych. Zajmują się tworzeniem i rozprowadzaniem fałszywych dokumentów (szczególnie w krajach azjatyckich), prowadzą platformy pornograficzne czy sklepy z podrabianymi lekami. Analizowane przypadki dotyczyły niemal każdego zakątka globu – Wielkiej Brytanii, Szwajcarii, Stanów Zjednoczonych, Zjednoczonych Emiratów Arabskich, Chin, Korei Południowej czy Gibraltaru.
– Granice między przestępczością w świecie cyfrowym a rzeczywistym coraz bardziej się zacierają i właśnie to jest niebezpieczne. Jedynym sposobem na rozwiązanie tego problemu jest zacieśnienie współpracy między sektorem prywatnym i publicznym, szczególnie między firmami zajmującymi się cyberbezpieczeństwem a lokalnymi organami ścigania. Analitycy zagrożeń powinni dzielić się swoimi ustaleniami z władzami, które mogą śledzić potencjalne operacje przestępców. W końcu ktoś, kto dziś zakłada pozornie legalną firmę, jutro może ponownie zaatakować w sieci – podsumowuje John Shier.