RaaS

Tento přístup zásadně proměnil prostředí kybernetických hrozeb, protože zpřístupnil sofistikované nástroje pro útoky i technicky méně zdatným pachatelům. Základní princip spočívá v rozdělení rolí mezi vývojáře škodlivého softwaru a operátory útoků, přičemž výnosy z plateb výkupného jsou mezi nimi rozdělovány podle předem stanovených pravidel. 

Vývojáři vytvářejí a udržují technickou infrastrukturu včetně samotného škodlivého kódu, platebních portálů, komunikačních kanálů a nástrojů pro řízení útoků. Operátoři (označovaní také jako partneři) získávají přístup k těmto nástrojům výměnou za podíl na získaném výkupném. Tento model umožňuje vývojářům dosáhnout masivního rozšíření jejich škodlivého softwaru bez nutnosti provádět útoky vlastními silami, zatímco operátoři mohou realizovat útoky bez technických znalostí potřebných pro vytvoření ransomwaru. 

Partneři obvykle získávají 70 až 90 % z vyplaceného výkupného, zatímco vývojáři si ponechávají zbývajících 10 až 30 %. Přestože vývojáři získávají výrazně menší podíl, jejich příjem pochází od velkého počtu partnerů provádějících útoky, takže je tento model velmi ziskový i pro ně. Tato struktura motivuje obě strany k maximalizaci počtu úspěšných útoků a výše požadovaného výkupného. 

Historický vývoj 

Vývoj RaaS úzce souvisí s historií ransomwaru, která sahá do roku 1989 k trojskému koni AIDS. Rozvoj RaaS nastal v polovině 20. let 21. století, kdy kriminální skupiny rozpoznaly potenciál škálování svých operací prostřednictvím partnerských programů a začaly budovat infrastrukturu podobnou legitimním obchodním platformám. Na dark webu se objevila specializovaná fóra, kde vývojáři nabízeli své služby potenciálním partnerům. Tyto platformy poskytovaly nejen samotný škodlivý software, ale také technickou podporu, pravidelné aktualizace a nástroje pro správu útoků. 

Mezi první známé skupiny využívající tento model patřil Reveton. Jejich ransomware se vydával za oznámení od orgánů činných v trestním řízení a požadoval platbu za údajné porušení zákona. I přes relativně primitivní taktiku ve srovnání s pozdějšími útoky demonstrovala skupina Reveton životaschopnost modelu RaaS založeného na partnerských programech. Vývojáři Revetonu získávali podíl z každé platby provedené oběťmi napadenými jejich partnery. 

V následujících letech se model dále profesionalizoval a sofistikoval. Objevily se skupiny jako REvil, Conti a LockBit, které vybudovaly rozsáhlé sítě s desítkami i stovkami aktivních partnerů. Tyto organizace fungovaly jako skutečné podniky s jasnou hierarchií, specializací rolí a propracovanými procesy pro nábor a správu partnerů. Investovaly do vývoje pokročilých technik pro obcházení bezpečnostních opatření, automatizace útoků a maximalizaci vyděračských plateb. 

Významným milníkem vývoje bylo zavedení dvojitého vydírání kolem roku 2019. Útočníci začali data obětí nejen šifrovat, ale před zašifrováním je také exfiltrují. Hrozbou zveřejnění citlivých dat pak zvyšují tlak na zaplacení výkupného. Tato taktika výrazně zvyšuje úroveň rizika, protože úniku citlivých informací čelí i organizace s kvalitními zálohami, které by se z běžného ransomwarového útoku relativně snadno zotavily. 

Období kolem roku 2020 přineslo další akceleraci tohoto trendu. Pandemie přinutila mnoho organizací k rychlému přechodu na práci na dálku, což často vedlo k oslabení bezpečnostních opatření. Útočníci této situace využili a počet ransomwarových útoků dramaticky vzrostl. Zároveň se zvýšily požadavky na výkupné, které v případě velkých organizací dosahují desítky milionů dolarů. 

Jen výjimečně se podaří narušit ekosystém RaaS úspěšným zásahem proti ransomwarovým skupinám. V roce 2021 došlo k zásahu proti skupině REvil, který vedl k zatčení některých členů a dočasnému přerušení jejich operací. Podobně byla v roce 2024 narušena infrastruktura skupiny LockBit. Tyto zásahy měly ovšem pouze dočasný efekt, protože skupiny se rychle reorganizovaly, změnily značku nebo jejich členové přešli k jiným operacím. Model RaaS se tak postupně stal dominantním přístupem v oblasti vyděračského softwaru a představuje jednu z nejvýznamnějších hrozeb v oblasti kybernetické bezpečnosti. 

Obchodní model a fungování 

Struktura modelu RaaS je velmi podobná legitimním obchodním platformám typu SaaS (Software as a Service). Vývojáři vytvářejí centralizovanou platformu, která poskytuje kompletní infrastrukturu pro provádění útoků. Tato platforma zahrnuje samotný škodlivý kód, který může být přizpůsoben konkrétním potřebám partnerů, komunikační kanály pro vyjednávání s oběťmi, platební portály pro příjem kryptoměn a nástroje pro správu probíhajících útoků. 

Noví partneři jsou získáváni zpravidla prostřednictvím fór na dark webu, kde vývojáři inzerují své služby a stanovují podmínky spolupráce. Někteří operátoři vyžadují od potenciálních partnerů zaplacení zálohy nebo prokázání předchozích zkušeností s kybernetickými útoky. Tento proces má zajistit kvalitu partnerů a snížit riziko infiltrace vyšetřovateli kyberkriminality. Po přijetí získává partner přístup k platformě, kde může stahovat škodlivý software, sledovat průběh svých útoků a komunikovat s technickou podporou. 

Právě technická podpora představuje důležitý prvek ekosystému RaaS. Vývojáři poskytují partnerům dokumentaci, návody a přímou pomoc při řešení technických problémů. Někteří operátoři nabízejí dokonce pravidelná školení zaměřená na nové techniky útoků, metody obcházení bezpečnostních opatření nebo efektivní vyjednávání s oběťmi. Tato úroveň podpory umožňuje i relativně nezkušeným pachatelům provádět velmi sofistikované útoky. 

Platební mechanismus rozděluje výnosy mezi vývojáře a partnery. Když oběť zaplatí výkupné, platba přichází na adresu kryptoměnové peněženky kontrolované vývojáři. Ti automaticky rozdělí prostředky podle předem stanoveného poměru a partnerovi odešlou podíl do jeho peněženky. Tento proces je obvykle automatizovaný a transparentní a partneři mohou sledovat své výnosy přímo v ovládacím panelu své RaaS platformy. 

Součástí partnerských programů jsou často také pravidla a omezení. Vývojáři například stanovují minimální výši požadovaného výkupného, aby zajistili, že útoky budou zaměřeny na dostatečně hodnotné cíle. Některé platformy zakazují útoky na určité typy cílů, jako jsou zdravotnická zařízení, vzdělávací instituce nebo konkrétní organizace v určitých zemích. Tato omezení mohou být motivována snahou vyhnout se zvýšené pozornosti vyšetřovatelů nebo politickými důvody. 

Sankce za porušení pravidel se pohybují od varování přes dočasné pozastavení přístupu až po trvalé vyloučení z RaaS platformy. Průběžně mohou být odstraňováni neaktivní partneři, aby se uvolnily kapacity pro aktivnější účastníky. Systém pravidel pomáhá udržovat disciplínu v rámci partnerské sítě a chrání reputaci platformy v kyberkriminální komunitě. 

Konkurence mezi platformami vede ke zlepšování nabízených služeb, kdy operátoři investují do vývoje nových funkcí, jako jsou pokročilé šifrovací algoritmy, mechanismy pro obcházení bezpečnostních nástrojů nebo automatizované systémy pro identifikaci zranitelných cílů.  

Kromě základního modelu sdílení výnosů z výkupného nabízejí některé platformy i další služby za dodatečný poplatek. Patří mezi ně přístup k databázím odcizených přihlašovacích údajů, které usnadňují počáteční průnik do sítí obětí, hosting odcizených dat nebo specializované nástroje pro obcházení konkrétních bezpečnostních řešení. Doplňkové služby diverzifikují příjmy RaaS platforem. 

Technická infrastruktura RaaS 

Technické zázemí RaaS platforem je budováno s důrazem na anonymitu, odolnost a efektivní správu distribuovaných útoků. Centrálním prvkem je řídicí infrastruktura, která koordinuje komunikaci mezi infikovanými systémy a servery útočníků. Tato infrastruktura je obvykle rozložena napříč více různými státy a využívá různé techniky pro skrytí skutečné lokace serverů. 

Primárním prostředí pro provoz RaaS platforem je dark web. Služby jsou dostupné prostřednictvím sítě Tor, která poskytuje vysoký stupeň anonymity jak pro operátory, tak pro partnery. Na dark webu jsou hostovány weby pro nábor partnerů, platformy pro správu útoků, portály pro vyjednávání s oběťmi i stránky pro zveřejňování odcizených dat. Toto prostředí poskytuje útočníkům relativně bezpečný prostor pro jejich činnost. 

Komunikační kanály mezi infikovanými systémy a řídicími servery jsou navrženy tak, aby byly obtížně detekovatelné. Útočníci využívají šifrované protokoly, které znesnadňují analýzu síťového provozu. Některé varianty ransomwaru komunikují prostřednictvím legitimních služeb, jako jsou sociální sítě nebo cloudové platformy, což komplikuje odlišení škodlivé komunikace od běžného provozu. Další technika spočívá v použití proxy serverů, které maskují skutečnou lokaci řídicích serverů. 

Samotný škodlivý kód je neustále vyvíjen a přizpůsobován tak, aby obcházel běžné bezpečnostní nástroje. Moderní varianty ransomwaru využívají pokročilé techniky jako polymorfismus, kdy se kód při každé infekci mírně mění, což ztěžuje jeho detekci pomocí signatur. Některé varianty jsou schopny detekovat přítomnost bezpečnostního softwaru nebo virtuálního prostředí a v takovém případě pozastavit svou činnost, aby se vyhnuly odhalení. Další technika spočívá ve zneužití legitimních systémových nástrojů pro provedení škodlivých akcí, což znesnadňuje identifikaci podezřelého chování. 

Moderní varianty ransomwaru využívají kombinaci symetrické a asymetrické kryptografie. Soubory jsou obvykle šifrovány pomocí rychlého symetrického algoritmu, zatímco klíč použitý pro toto šifrování je následně zašifrován veřejným klíčem útočníků. Tento přístup zajišťuje, že oběť nemůže obnovit svá data bez spolupráce s útočníky, i když získá přístup k šifrovaným souborům. 

Zásadní součástí moderních ransomwarových útoků je infrastruktura pro exfiltraci dat. Ještě před zahájením šifrování ransomware identifikuje citlivá data a odešle je na servery kontrolované útočníky. Tento proces musí být proveden rychle a nenápadně, aby nebyl detekován bezpečnostními nástroji. Odcizená data jsou následně hostována na serverech na dark webu a v případě, že oběť odmítne zaplatit, mohou zde být také zveřejněna. 

Platební infrastruktura je navržena tak, aby zajistila anonymitu útočníků při příjmu výkupného. Oběti jsou instruovány k zaslání platby na konkrétní adresu kryptoměnové peněženky, která bývá obvykle vytvořena unikátně pro každou oběť. Po přijetí platby jsou prostředky rychle přesunuty přes sérii dalších peněženek a směnárenských služeb pro znemožnění sledování toku peněz. Některé skupiny využívají takzvané mixovací služby, které kombinují transakce od více uživatelů a tím dále zastírají původ a cíl prostředků. 

Moderní RaaS platformy nabízejí také nástroje pro automatickou identifikaci zranitelných systémů, nasazení ransomwaru a správu komunikace s oběťmi. Některé systémy využívají algoritmy strojového učení pro optimalizaci výše požadovaného výkupného na základě charakteristik oběti, jako je velikost organizace, odvětví nebo geografická lokace. Tato automatizace umožňuje partnerům provádět útoky ve velkém měřítku s minimálním manuálním úsilím. 

Hlavní RaaS skupiny a jejich operace 

Hlavní organizace poskytující služby typu RaaS jsou vysoce profesionalizované, technicky sofistikované a schopné rychle se přizpůsobovat měnícímu se prostředí. 

Mezi nejaktivnější operátory v letech 2020 až 2024 patřila skupina LockBit. Její platforma se vyznačovala decentralizovaným modelem, který umožňoval rychlé škálování prostřednictvím velkého počtu partnerů. LockBit investoval do vývoje pokročilých variant ransomwaru schopných napadat různé operační systémy včetně Windows, Linuxu a virtualizačních platforem.  

V únoru 2024 proběhla koordinovaná operace policejních složek, která vedla k narušení infrastruktury LockBitu a zatčení některých členů. Tento zásah měl ale jen dočasný efekt. Skupina se hbitě reorganizovala, obnovila svou infrastrukturu a pokračovala v operacích. V následujících měsících představila novou verzi svého ransomwaru, která obsahovala vylepšené mechanismy pro obcházení bezpečnostních nástrojů a modulární architekturu umožňující snadné přizpůsobení útoků. 

Skupina REvil, známá také jako Sodinokibi, provozovala jednu z nejvýznamnějších RaaS platforem v období let 2019 až 2021. Její operace se vyznačovaly agresivními taktikami a vysokými požadavky na výkupné (i přes 50 milionů dolarů). REvil byl zodpovědný za několik vysoce medializovaných útoků, včetně napadení společnosti Kaseya v roce 2021, které ovlivnilo tisíce organizací prostřednictvím kompromitace jejich softwaru pro správu IT. 

Na konci roku 2021 proběhla proti skupině REvil série zásahů. Ruské orgány následně oznámily zatčení několika členů a americké úřady zabavily část jejich infrastruktury. Tyto akce vedly k ukončení hlavních operací skupiny REvil, ale někteří bývalí členové a jejich techniky se následně objevily v jiných skupinách. Taktiky a nástroje skupiny REvil ovlivnily vývoj celého ekosystému RaaS. 

Vysoce organizované operace s úzkými vazbami na širší ekosystém ruské kyberkriminality prováděla skupina Conti, která fungovala jako centrum talentů a služeb pro různé kriminální aktivity. Skupina měla vazby na síť Trickbot, která poskytovala infrastrukturu pro počáteční kompromitaci obětí. Tato integrace umožňovala efektivní koordinaci různých fází útoku od průniku přes exfiltraci dat až po nasazení ransomwaru. 

Kromě těchto hlavních hráčů existuje řada menších skupin provozujících RaaS. Mnoho hlavních skupin má vazby na území bývalého Sovětského svazu, kde čelí menšímu riziku stíhání, zejména pokud se vyhýbají útokům na lokální cíle. Tato relativní bezpečnost umožňuje dlouhodobější operace a budování sofistikovanější infrastruktury. 

Dopad a důsledky RaaS 

Ekonomické dopady ransomwarových útoků dosahují gigantických rozměrů a neustále rostou. Přímé náklady zahrnují platby výkupného, které v některých případech dosahují desítek milionů dolarů. K tomu je nutné přičíst náklady na obnovu systémů, ztráty způsobené výpadkem provozu a následné investice do posílení bezpečnostních opatření, stejně jako poškození reputace oběti.  

RaaS zásadně zvyšuje množství ransomwarových útoků, protože je mohou provádět i kyberzločinci bez technických znalostí a zkušeností. Tito útočníci se navíc spoléhají na svoji relativní beztrestnost, jelikož jsou jejich operace skryté za použitou RaaS platformou. 

Ransomwarové útoky (ať už přímé, nebo prostřednictvím RaaS) ovšem naplňují skutkovou podstatu různých trestných činů včetně neoprávněného přístupu k počítačovému systému, poškození dat, vydírání a organizované kriminality. Mezinárodní povaha těchto útoků ale komplikuje jejich stíhání, protože útočníci často operují z jurisdikcí, které nespolupracují s vyšetřovateli z jiných zemí. 

Efektivní ochrana proti ransomwarové hrozbě vyžaduje komplexní přístup kombinující technická opatření, organizační procesy a vzdělávání zaměstnanců. Žádné jednotlivé opatření nemůže poskytnout úplnou ochranu, ale správně implementovaná kombinace různých strategií může výrazně snížit riziko úspěšného útoku a minimalizovat jeho dopad. 

Trendy RaaS 

Vývoj RaaS bude pravděpodobně pokračovat po trajektorii současných trendů s dalšími inovacemi v taktice, technice a cílech útoků. Zásadní význam bude mít zapojení technologie umělé inteligence, která ovlivní jak útočné, tak obranné strategie. Útočníci mohou využívat algoritmy strojového učení pro automatizaci identifikace zranitelných cílů, optimalizaci výše požadovaného výkupného nebo generování přesvědčivých phishingových zpráv. Obránci zase implementují umělou inteligenci pro detekci anomálií a predikci útoků. 

Pokračovat bude rovněž profesionalizace kyberkriminality – ať už v podobě RaaS, nebo MaaS (Malware as a Service), nebo obecně CaaS (Cybercrime as a Service). Model RaaS se může dále vyvíjet směrem k ještě větší specializaci a dělbě práce. Mohou vznikat specializované služby pro jednotlivé fáze útoku, od počátečního průniku přes exfiltraci dat až po vyjednávání s oběťmi. Tento trend může vést k vytvoření komplexního ekosystému podobného legitimnímu průmyslu informačních technologií.