Od hakera do legalnego biznesmena, czyli w co inwestują cyberprzestępcy?

Cyberprzestępcy coraz częściej inwestują zarobione na atakach pieniądze w legalne biznesy – wynika z analizy Sophos. Zakładają startupy, otwierają restauracje czy prowadzą kursy programowania. Według raportu State of Ransomware 2024, średnia wartość okupu płaconego przez firmy wyniosła dwa miliony dolarów – to pięciokrotnie więcej niż rok wcześniej. Pozornie legalne biznesy pozwalają hakerom na upłynnianie dużych kwot bez pozostawiania śladów.

Ataki ransomware, kradzieże danych oraz phishing generują milionowe zyski, uzyskiwane głównie w kryptowalutach. Jak wynika z raportów Sophos, nawet 30% żądań okupu w ramach ataków ransomware opiewa na kwotę ponad 5 milionów dolarów. Kwestia tego, co dzieje się później z tymi pieniędzmi, nie przyciągała dotąd uwagi. Analitycy przeanalizowali dyskusje przestępców na forach w darknecie, dostępne dane korporacyjne oraz ruchy portfelowe i odkryli, że nielegalnie pozyskane zyski są inwestowane zarówno w działalność przestępczą, jak i w legalne biznesy.

„Nie mówimy już tylko o tradycyjnym praniu brudnych pieniędzy. To, co obserwujemy w hakerskim podziemiu, to nowa forma przedsiębiorczej przestępczości – kryminaliści wchodzą na rynek jako legalni biznesmeni. Stając się pracodawcami i inwestorami, są paradoksalnie bardziej niewidoczni niż kiedykolwiek” – wyjaśnia John Shier, Field CISO w Sophos.

W wielu przypadkach do nawiązywania kontaktów biznesowych oraz realizowania inwestycji cyberprzestępcy wykorzystują powszechnie znane kanały, takie jak Telegram czy WhatsApp Business. Firmy – przynajmniej na papierze – często wyglądają profesjonalnie, mają atrakcyjny dla inwestorów model biznesowy i sprawiają wrażenie w pełni legalnych.

Śladem okupów

Hakerzy lokują swoje środki w firmach i startupach z branży cyberbezpieczeństwa oraz IT. Pozwala im to na poszerzenie swojej wiedzy, zdobycie środków i infrastruktury na potrzeby kolejnych ataków. Analitycy Sophos zaobserwowali, że cyberprzestępcy inwestują też w organizacje pozarządowe czy instytucje edukacyjne, które pozwalają działać niezauważenie – zakładać szkoły programowania czy organizować projekty edukacyjne pod pozorem aktywności non-profit. Pranie pieniędzy ułatwiają też biznesy ze sporym przepływem gotówki i niewielkim nadzorem, takie jak restauracje i bary, ale też hurtownie tytoniu i alkoholu.

Środki z cyberataków lokowane są również w nieruchomościach, akcjach czy metalach szlachetnych (złoto, diamenty), które pozwalają hakerom na osiąganie stosunkowo łatwego i legalnego dochodu pasywnego. Transakcje najczęściej zawierane są w krajach o stabilnej jurysdykcji, takich jak Szwajcaria, USA czy Zjednoczone Emiraty Arabskie.

Oprócz prowadzenia legalnych biznesów, hakerzy wciąż działają też w szarej strefie. Prowadzą kasyna i inne usługi hazardowe, często rejestrowane w tzw. rajach podatkowych. Zajmują się tworzeniem i rozprowadzaniem fałszywych dokumentów (szczególnie w krajach azjatyckich), prowadzą platformy pornograficzne czy sklepy z podrabianymi lekami. Analizowane przypadki dotyczyły niemal każdego zakątka globu – Wielkiej Brytanii, Szwajcarii, Stanów Zjednoczonych, Zjednoczonych Emiratów Arabskich, Chin, Korei Południowej czy Gibraltaru.

Granice między przestępczością w świecie cyfrowym a rzeczywistym coraz bardziej się zacierają i właśnie to jest niebezpieczne, podkreślają analitycy. Jedynym sposobem na rozwiązanie tego problemu jest zacieśnienie współpracy między sektorem prywatnym i publicznym, szczególnie między firmami zajmującymi się cyberbezpieczeństwem a lokalnymi organami ścigania.

„Analitycy zagrożeń powinni dzielić się swoimi ustaleniami z władzami, które mogą śledzić potencjalne operacje przestępców. W końcu ktoś, kto dziś zakłada pozornie legalną firmę, jutro może ponownie zaatakować w sieci” – podsumowuje John Shier.