Gangi cyberprzestępcze toczą z siłami „jasnej strony mocy” brutalną wojnę o wpływy, która wykracza  poza serwerownie i domowe routery. Jednym z pól  bitwy stał się dziś rynek talentów. Choć rekrutacja odbywa się w cieniu Darknetu, na forach pokroju Exploit czy RAMP, machina kadrowa cyfrowego podziemia działa z precyzją korporacji. Grupy przestępcze zarzucają sieci szeroko: od technicznych rzemieślników, po cyfrowych architektów z najwyższej półki, zdolnych projektować złośliwe oprogramowanie czy wynajdować luki w idealnie wydawałoby się zabezpieczonych systemach.

Lwia część czarnego rynku (od 45 proc. do 61 proc. ogłoszeń)  to polowanie na programistów. Ich praca polega na kodowaniu trojanów kradnących dane i tworzeniu ransomware’u. Tuż za nimi, z udziałem 16-32 proc., plasują się „żołnierze frontowi”: napastnicy i pentesterzy. To oni wykonują brudną robotę, forsują korporacyjne firewalle, czyszczą konta bankowe i wyprowadzają gigabajty wrażliwych danych. Na szczycie tej piramidy znajdują się inżynierowie wsteczni (reverse engineers). Choć stanowią zaledwie 4 proc. ofert, są mózgiem operacji. Ich zadanie to wynajdowanie luk, których nikt wcześniej nie dostrzegł.

Rekrutacja w Darknecie jest profesjonalna i wysoce sformalizowana. W 80 proc. ogłoszeń od kandydatów wymaga się wykonanie zadań, takich jak stworzenie niewykrywalnego (FUD) pliku wykonywalnego. Osoby, które przebrną przez kwalifikacyjne sito, otrzymują wynagrodzenie najcześciej w kryptowalutach. Najlepiej zarabiają inżynierzy wsteczni, od 4000 do 5000 dol. miesięcznie (najlepsi nawet do 20 000 dol.).  „Żołnierze frontowi” mogą liczyć na pensje w przedziale 2500 -4000 dol., a developerzy około 2000 dol.  Niektóre grupy cyberprzestępcze kuszą kandydatów dodatkowymi benefitami w postaci pracy zdalnej (45 proc. ofert), elastycznym grafikiem (33 proc.), czy płatnym urlopami oraz bonusami za udane operacje.

Kret w systemie

Gupy cyberprzestępcze doskonale wiedzą, że najsłabszym ogniwem najdroższego systemu bezpieczeństwa jest zawsze człowiek. Zamiast kruszyć kopie o cyfrowe mury, lepiej wybrać drogę na skróty, przez umysły pracowników.

Obecnie na czarnym rynku trwa prawdziwe polowanie na specjalistów od inżynierii społecznej. To biegli w socjotechnice manipulatorzy z nienagannym angielskim. Ich zadaniem jest uśpienie czujności personelu i wyciągnięcie kluczy do cyfrowego królestwa za pomocą precyzyjnie skonstruowanych kłamstw. Jeden telefon, jedna wiarygodna wiadomość  i bariery techniczne przestają istnieć.

Jednak najbardziej niepokojącym trendem jest jednak werbowanie „wtyczek” bezpośrednio wewnątrz legalnych korporacji. Grupy przestępcze nie muszą już łamać haseł, skoro mogą kupić lojalność pracownika, który ma je na wyciągnięcie ręki.

– Przynęta namawiania pracownika do zdrady jego lojalności jest świętym Graalem dla złych aktorów” – mówi dla dziennika The Wall Street Journa  Mike McPherson, starszy wiceprezes ds. operacji bezpieczeństwa w firmie ReliaQuest zajmującej się cyberbezpieczeństwem.

Mike McPherson, były agent specjalny FBI, ostrzega, że hakerzy aktywnie monitorują media społecznościowe w poszukiwaniu osób skarżących się na zwolnienia, niskie płace czy niesprawiedliwe traktowanie. Ich celem są również pracownicy niedawno zwolnieni, zdegradowani lub pominięci przy awansach. Cyberprzestępcy kontaktują się z nimi bezpośrednio, najczęściej przez LinkedIn lub pocztę elektroniczną, wykorzystując ich frustrację do przeprowadzenia ataku.

John Fokker, wiceprezes ds. wywiadu zagrożeń w Trellix, przyznaje, że rekrutacja osób wtajemniczonych staje się „rutynową taktyką”, ponieważ jest tańsza, szybsza i znacznie mniej ryzykowna niż próba włamania się do dobrze bronionych sieci.

-Wpływ jest natychmiastowy i często wiąże się z kradzieżą własności intelektualnej, sabotażem lub ujawnieniem danych, których tradycyjne zabezpieczenia obwodowe nigdy nie zostały zaprojektowane, aby powstrzymać – mówi John Fokker dla WSJ Street Journal.

Inną metodą jest umieszczenia hakerów w organizacji, gdzie udają legalnych pracowników. W ubiegłym roku kobieta z Arizony została skazana na osiem lat więzienia federalnego za pomoc północnokoreańskim hakerom w używaniu fałszywych poświadczeń do pracy w zdalnych pracach IT w ponad 300 amerykańskich firmach. Podobnie, trzech obywateli USA w listopadzie przyznało się do sprzedaży swojej tożsamości północnokoreańskim hakerom, co umożliwiło im ubieganie się o zatrudnienie w docelowych firmach amerykańskich i dostęp do danych od wewnątrz.

Surowa lekcja od Coinbase i Ingram Micro

Według danych firmy Proofpoint, w ciągu ostatniego roku 32 proc. wszystkich incydentów związanych z utratą danych w organizacjach na całym świecie było wynikiem celowego działania pracowników.To znaczący wzrost w porównaniu z 20 proc. odnotowanymi w 2024 roku. Choć ataki wewnętrzne występują rzadziej niż zewnętrzne próby włamań, ich skutki są zazwyczaj znacznie dotkliwsze. Z raportów IBM wynika, że naruszenia spowodowane przez osoby z wewnątrz organizacji generują średni koszt rzędu 5 milionów dolarów, to najwyższa kwota spośród wszystkich rodzajów cyberzagrożeń.

Poza stratami materialnymi, incydenty te nadszarpują reputację firmy w sposób szczególny. Eksperci wskazują, że źródło problemu nie leży w przeoczonej luce technicznej, lecz obnaża fundamentalne braki w procedurach bezpieczeństwa i kulturze organizacyjnej. W obawie przed utratą zaufania wiele firm nie zgłasza takich naruszeń, co sugeruje, że rzeczywista skala zjawiska jest znacznie większa, niż podają oficjalne statystyki.

Dwa najbardziej nagłośnione przypadki dotyczą Ingram Micro oraz Coinbase. Pierwsza z wymienionych firm poinformowała  o wycieku danych spowodowanym przez zewnętrznego kontrahenta, który bezprawnie pobrał pliki z wewnętrznych repozytoriów. Skradzione zasoby zawierały akta pracownicze oraz dane kandydatów do pracy, w tym numery SSN, dane z praw jazdy oraz paszportów. Z kolei giełda Coinbase w  ubiegłym roku padła ofiarą ataku, w którym hakerzy wykorzystali uprawnienia pracowników działu wsparcia. Przestępcy domagali się 20 milionów dolarów okupu. Coinbase oficjalnie przyznało, że doszło do nadużycia dostępów wewnętrznych, jednak stanowczo odmówiło zapłaty haraczu.