Den po začátku ruské invaze na Ukrajinu vydala organizace Conti zabývající se ransomwarem, tedy kybernetickým vydíráním, neobvyklé politické prohlášení. Přislíbila v něm plnou podporu ruské vládě a uvedla, že použije všechny možné prostředky k úderu na kritické infrastruktury ruských odpůrců.
Veřejně deklarované spojenectví s autoritativním režimem prezidenta Vladimira Putina, který navíc rozpoutal vojenskou agresi proti svrchovanému státu, ale skupině způsobilo problémy. Conti proto své prohlášení krátce nato zmírnila. „Nejsme spojenci žádné vlády a probíhající válku odsuzujeme,“ stálo v následném vyjádření, kde nicméně přislíbila odvetu Spojeným státům, pokud rozpoutají kybernetickou válku proti „kterékoli ruskojazyčné oblasti světa“.
Pokus skupiny Conti prezentovat na veřejnosti svůj nezávislý status však nevyšel. Několik dní po začátku ruské invaze uživatel @ContiLeaks napsal tweet „Sláva Ukrajině!“ a zároveň zveřejnil 60 000 interních zpráv Conti na Twitteru. Komunikace vykazovala známky propojení mezi Conti a ruskou zpravodajskou službou FSB. Skupina se přesto na sankční seznam nedostala. A to ani vzhledem k rozsáhlým škodám, jež za svou existenci napáchala. Podařilo se jim třeba proniknout do počítačových systémů více než tisíce obětí po celém světě, zablokovat jejich soubory a za obnovení přístupu vybrat výkupné ve výši více než 150 milionů dolarů. Svým obětem rovněž ukradli data, ukázky zveřejnili na darkwebových stránkách a hrozili, že v případě nezaplacení výkupného zveřejní další. Proč tedy taková benevolence ze strany institucí? Vzhledem k liteře amerického zákona se totiž Američanům zakazuje platit svým vyděračům, na něž jsou uvaleny sankce, jakékoli výkupné. To by každou oběť ransomwaru postavilo před svízelné dilema: zaplatit a překročit zákon, nebo nezaplatit a vystavit se riziku spojenému se zablokovanými soubory a ukradenými daty?
Sankce nejsou snadné
Na sankčních seznamech amerického Úřadu pro kontrolu zahraničních aktiv (OFAC), který spadá pod ministerstvo financí, se v minulých letech octnula pouze hrstka ransomwarových zločinců či skupin útočících na Američany.
Zařazení není tak jednoduché, jak by se mohlo zdát, uvedli pro server ProPublica.org současní i bývalí úředníci ministerstva financí. Sankce lze uplatnit, jestliže pro ně existují pádné důkazy. V tomto směru se OFAC většinou spoléhá na informace od zpravodajských služeb, orgánů činných v trestním řízení, na zprávy z médií a z dalších zdrojů. V případech ransomwarových útoků OFAC obvykle používá důkazy předkládané při obvinění z trestných činů. Vyšetřujícím orgánům však může trvat roky, než někoho přesvědčivě obviní.
„Posuzování důkazů je velmi obtížné,“ přiznal při nedávném rozhovoru Michael Lieberman, zástupce ředitele odboru vymáhání práva úřadu OFAC.
Facebookové skupiny podporovatelů ruské invaze výrazně neposilují
Další nesnází při uvalení sankcí je fakt, že ransomwarové skupiny neustále mění své názvy, právě aby se vyhnuly sankcím i právním následkům své trestné činnosti. Této strategie se drží i skupina Conti. Technologický web BleepingComputer před dvěma týdny oznámil, že Conti oficiálně ukončila svou činnost. Článek, který se odvolával na informace společnosti AdvIntel zabývající se prevencí hrozeb, uváděl i podrobnosti o stavu stránek a serverů skupiny a jeho závěr byl jednoznačný: „Conti je pryč, ale jejich operace pokračují.“
Zánik názvu Conti podtrhuje další důvod, proč je těžké sankcionovat ransomwarové skupiny: zařazení na seznam sankcionovaných subjektů bez uvedení konkrétních jmen, jež za skupinou stojí, nebo zveřejnění dalších identifikačních znaků by totiž mohlo způsobit potíže nevinným osobám. Například zákazník banky s příjmením Conti by se mohl objevit na seznamu sankcionovaných osob, což by pro něj i banku znamenalo nechtěné právní riziko, uvedl pro server ProPublica.com Michael Parker, bývalý úředník odboru OFAC pro vymáhání práva. Vláda by pak musela podobné zádrhely rozplétat.
Uvalením sankcí by federální vláda navíc ztížila činnost poškozeným organizacím, jako jsou například podniky a nemocnice, které by mohly utrpět újmu v podobě prozrazení obchodního tajemství nebo jiných citlivých informací. Zároveň by jim hrozilo i ukončení činnosti, jestliže by nemohly kvůli nezaplacenému výkupnému obnovit své uzamčené soubory. (Pokud oběť ransomwaru zaplatí, hackeři jí poskytnou klíč k odemčení souborů a zavážou se, že její ukradená data nezneužijí.)
Platit, nebo neplatit?
Podle právníků a vyjednavačů, kteří pracují s oběťmi ransomwaru, jich většina po únorovém prohlášení o podpoře ruské vlády nakonec výkupné nezaplatila. Situace je podle nich ale nepřehledná. „Určitě by pro nás bylo jednodušší, kdyby byla skupina přidaná na sankční seznam OFAC,“ řekl v ProPublica.org právník Michael Waters, který často pracuje s oběťmi ransomwaru. „Pak prostě nebudeme provádět platby těmto skupinám.“
Některé americké oběti ale Conti nadále platily přes kanadského prostředníka zvaného Cypher. Generální ředitel Daniel Tobok uvedl, že Cypher po zahájení války zaplatil skupině Conti jménem asi tuctu obětí, z nichž více než třetina byla americká. Podle Toboka jim totiž hrozilo, že by v případě neuhrazení požadované částky musely propustit zaměstnance nebo zcela ukončit činnost.
Federální vláda od placení výkupného dlouhodobě odrazuje a v posledních letech to dává na vědomí odborníkům, kteří pracují s oběťmi ransomwaru. V říjnu 2020 vydalo americké ministerstvo financí doporučení, v němž se uvádí, že „společnosti, které zprostředkovávají platby výkupného kybernetickým aktérům jménem obětí“, mohou „riskovat porušení předpisů OFAC“. Druhé prohlášení z roku 2021 současně připouštělo, že oběti někdy provádějí platby, které porušují sankce, ale mohou být posuzovány shovívavě, pokud incident i platbu rychle nahlásí úřadu OFAC.
Ministerstvo financí si od těchto pokynů slibovalo, že více obětí přimějí ke spolupráci s orgány činnými v trestním řízení. Což by pak mohlo vést k většímu počtu obvinění a sankcí.
Zdá se, že tato část strategie i přes výše zmíněné problémy začíná fungovat: podle právníka Michaela Waterse se oproti minulosti hlásí více obětí. Nahrává tomu i fakt, že po vydání doporučení OFAC začalo mnoho pojišťoven po svých klientech zasažených ransomwarem požadovat důkaz, že incident nahlásili FBI.