Když na konci minulé kapitoly zmizela šifrovaná zpráva v síti Tor a obrazovky obou mužů zčernaly, uzavřel se mezi nimi kontrakt bez papírů a bez právníků. Alexej a Rafael – architekt a dodavatel – se stali dvěma články stejného řetězce, který se teprve začne napínat. Ale zatímco první díl našeho fiktivního příběhu sledoval zrod obou postav paralelně v chladném Petrohradu a dusném São Paulu, tato část se ponoří hlouběji do jedné z nich.

Druhý díl naší série se vrací v čase a sleduje Rafaela Costu — ne jako hotového hráče s inventářem čtyřiceti sedmi přístupů, ale jako člověka, který se jím teprve stává. Uvidíme, jak se z jednorázové transakce motivované osobní křivdou rodí systematické řemeslo. Jak se z amatérského skenu stává průmyslový proces. Jak infostealer logy, Shodan dotazy, escrow služby a paranoidní OPSEC rutiny dohromady tvoří ekosystém, který kyberbezpečnostní průmysl označuje suchým termínem „initial access broker“ — ale který zevnitř může vypadat jako nepřetržité psychologické mučení.

Tenhle díl není o technologii. Je o ceně, kterou člověk platí za to, že se rozhodne stát mezičlánkem v jednom z nejlukrativnějších kriminálních dodavatelských řetězců světa.

São Paulo, prosinec 2023, 18:47 místního času

Klimatizace v bytě ve Vila Prudente se zase porouchala a horko se Rafaelovi obtáčí kolem hrdla jako vlhký hadr. Sedí na podlaze bez trička, opřený zády o zeď, kolena přitažená k hrudi, a zírá na svítící obdélník svého ThinkPadu. Na obrazovce stojí potvrzení: Převod dokončen. Rafael je bohatší o dva tisíce dolarů v kryptomeně Monero, uzamčené v peněžence, která nezná jméno ani tvář. Její jediný klíč – řetězec pětadvaceti anglických slov – existuje pouze na útržku papíru, pečlivě složeném pod uvolněnou podlahovou lištou, na kterou se právě dívá.

Dva tisíce dolarů = deset tisíc realů. Téměř měsíc platu v SOCu během jediné transakce, která trvala jen pár minut.

Ekonomika prvního přístupu: Valuace a tržní mechanismy

+

Cena za přístup není náhodná; je výsledkem komplexního algoritmu, který zohledňuje příjmy oběti, úroveň získaných privilegií a geografickou polohu.

Ceník digitálního podsvětí: Typy přístupů

VPN (Virtual Private Network)
$3 500 – $7 500
Obcházení perimetru a stabilita.
RDP (Remote Desktop)
$500 – $2 500
Přímé ovládání GUI a snadná lateralizace.
Domain Admin
$5 000 – $50 000+
Svatý grál hackerů. Okamžitá kontrola nad celou infrastrukturou.
Zdroj: Flare, Cyberint, Securelist, Kelacyber

Měl by cítit euforii. Tu kovovou pachuť vzadu na jazyku, to zrychlené chvění srdce, které cítil, když poprvé klikl na Odeslat u šifrované zprávy ruskému prostředníkovi a nabídl mu klíče k VPN logistické firmy. Jenže místo toho cítí Rafael jen vlhkost lezoucí po kůži a vzdálené, rytmické basy paulistanského funku, které vibrují betonovou podlahou z ulice pod ním. Vítězství už se mění v cosi jiného, cosi kyselého a naléhavého v jeho útrobách.

Přitiskne dlaň na hrudní kost. Srdce mu nebuší o žebra vzrušením, ale vytrvalou, nepravidelnou úzkostí, která se stala jeho novým klidovým stavem. Tohle nestačí, pomyslí si. Tohle je hazard, ne výplata.

Logistická firma — Transportadora Sulamericana — si to zasloužila. Rafael logo poznal okamžitě, když při rutinním skenu narazil na jejich nezabezpečený RDP server. Ta samá firma, která před třinácti lety nahradila jeho otce synovcem šéfa. Ta, která z jeho silného, hrdého pai udělala nočního hlídače v polyesterové uniformě, která na něm šustila jako levná náhražka života, který měl mít. Prodat přístup do jejich sítě za dva tisíce dolarů nepůsobilo jako zločin, působilo to jako náprava. Jako by bral zpět dech, který byl jeho rodině kdysi vyrván z plic.

Jenže teď, v dusné tmě, čelí Rafael prosté biologické aritmetice. Dopaminový náraz z jediného obchodu mizí a zanechává po sobě roztřepené okraje jeho neurotičnosti — tu část, která katalogizuje každé riziko, každé možné zaklepání na dveře. Zpětně si uvědomuje, že hackerský útok na domovskou zemi je akorát způsob, jak na sebe upozornit místní orgány.

Psychologický profil IAB: Kdo stojí na druhé straně?

+

Zrod Initial Access Brokera není jen technickým procesem, ale i psychologickou transformací. Data ukazují znepokojivý trend snižujícího se věku aktérů. Tento věkový nepoměr vysvětluje specifickou dynamiku podsvětí — vysokou ochotu k riziku, impulzivní chování a touhu po okamžitém statusu na fórech.

37 let Průměrný věk
tradiční kriminalita
19 let Průměrný věk
kyberkriminalita

Neurochemie kyberzločinu: Dopaminový cyklus

1
Infiltrace
Překonání perimetru a zajištění perzistence. Nárůst adrenalinu.
2
Monetizace
Úspěšná transakce v kryptoměně. Masivní dopaminový „high“.
3
Paranoia
Strach z OPSEC chyby, odhalení identity a ztráty svobody. Hluboký propad.
4
Vyhoření a Nutkání
Potřeba zopakovat cyklus pro znovuzískání kontroly a statusu.

Geografická mapa hrozeb a specifikace aktérů

Brazílie 16 – 25 let

Styl: Střední až vysoká profesionalita.
Od Pix fraudů k sofistikovaným IAB operacím.

Rusko / SNS 20 – 35 let

Styl: Extrémní profesionalita.
Ransomware-as-a-Service, vojenská přesnost.

Indie / JV Asie 18 – 28 let

Styl: Masová produkce.
Vysoký objem phishingových kampaní.

Západní Afrika 20 – 30 let

Styl: Střední úroveň.
Dominance útoků BEC a sociální manipulace.

Zdroj: Europol IOCTA report, FBI indictments

Vstane a přejde k oknu, odhrne vlnitou plastovou roletu. Městská čtvrť se rozprostírá do široké sítě bloků a ulic, světla oken a lamp kreslí pravidelnější rastr než chaotické souhvězdí; mezi domy vyčnívají jednotlivé antény a balkony se šňůrami na prádlo. Někde dole pracuje jeho otec. Nyní pomalu nastupuje na noční směnu ve skladu a chystá se u brány kontrolovat průkazy.

Rafael se podívá na své ruce. Lehce se třesou. Ne strachem — ale vědomím, že překročil práh, který vede jen jedním směrem. Nemůže se vrátit do SOCu. Nemůže už pracovat s křehkostí firemních sítí, které dříve chránil. Teď je predátor ve světě, který s ním vždy zacházel jako s kořistí.

Jenže predátoři potřebují teritorium. A lovit jednu firmu po druhé — ručně skenovat, ručně ověřovat, ručně vyjednávat s paranoidními ruskými administrátory fór — to je cesta k vyhoření nebo do vězení. Potřebuje systém. Potřebuje měřítko.

Vrátí se k notebooku a otevře novou šifrovanou poznámku. Prsty se vznášejí nad klávesnicí, vlhkost je lepí. Napíše pravidlo číslo jedna:

Přestaň hledat cíle. Začni hledat vzorce.

Teď to chápe. Peníze nejsou v pomstě. Peníze jsou v objemu. V nalezení zranitelnosti, která neotevírá jedny dveře, ale otevírá jich tisíc.

São Paulo, únor 2024

Wi-Fi v komunitním centru je pomalá a monitorovaná. Rafael ji používá jen přes vrstvy anonymizace a šifrování, aby minimalizoval riziko, že jeho výzkum někdo vystopuje. Sedí vzadu u okna, kde odpolední slunce prořezává prach a osvětluje ve vzduchu pomalé víření odumřelých kožních buněk a vláken. Teenageři kolem něj hrají Free Fire na levných androidech a křičí slangem, který se mění každý týden. Rafael má na uších sluchátka bez hudby — bariéru proti vnějšímu světu.

Studuje brazilské kybernetické podsvětí a je z něj znechucený.

Na obrazovce se v šifrovaných chatech a fórech rýsuje obraz chaosu. Místní skupiny — piratas — zneužívají jeitinho brasileiro, národní talent improvizace a ohýbání pravidel až k prasknutí. Přebírají kontrolu nad routery přes slabá hesla a děravý firmware, mění DNS nastavení a přesměrovávají platby Pix, provozují sociální inženýrství založené na důvěřivosti starších klientů bank. Je to výdělečné, ale špinavé. Pouliční kriminalita s digitální fasádou.

Rafael cítí známé pálení studu ve tvářích. Sleduje video hackera na TikToku, který se chlubí krádeží deseti tisíc realů, obličej napůl skrytý motocyklovou helmou, hlas amatérsky zkreslen. Komentáře plné ohníčků a chvály. Valeu, mlk! (volně přeloženo jako „Respekt, kámo!“).

Amatér, pomyslí si Rafael. Dítě.

Zaklapne víko notebooku tak prudce, že tím vyplaší starou ženu sedící vedle něj. Nechce být pouliční pirát. Chce být profesionál. Chce respekt rusky mluvící elity na Exploit.in a XSS — fórech, kam se člověk nedostane vychloubáním, ale jen přes výsledky a doporučení. Kde je reputace měnou, která má větší váhu než jakákoli volatilní kryptomena.

Brazílie: Laboratoř kyberzločinu

+

Brazilská scéna představuje unikátní ekosystém, kde se digitální kriminalita prolíná s každodenním životem. Není monolitická; je to dynamické prostředí plné paradoxů, které se rychle profesionalizuje a opouští pouliční úroveň směrem ke globálním operacím.

Oběť zevnitř: Systém Pix
$510 milionů
Ztráty z Pix podvodů v Brazílii za rok 2024. Obrovská adopce okamžitých plateb vytvořila primární terč pro lokální podvodníky a sociální inženýrství.
Exportér hrozeb: Grandoreiro
45+ zemí
Bankovní trojan brazilského původu se stal globálním hráčem. V roce 2024 cílil na 1 700 bankovních institucí v Evropě a Severní Americe.
Mapa hrozeb: Spektrum profesionality
Úroveň 1: Amatéři
"TikTok Piráti"
Nástroje / Taktika Phishingové kity, Pix muly
Průměrný zisk $500 - $2 000 / měs.
Hlavní terč Jednotlivci, senioři
Riziko odhalení Vysoké (špatná OPSEC)
Úroveň 2: Organizovaní
Banking Trojan Ops
Nástroje / Taktika Grandoreiro, Mekotio
Průměrný zisk $100k - $1M / rok
Hlavní terč Bankovní klienti, firmy
Riziko odhalení Střední (geofencing)
Rafael
Úroveň 3: Profesionálové
Initial Access Brokeři
Nástroje / Taktika Infostealery, VPN/RDP credentials
Průměrný zisk $5k - $50k / transakce
Hlavní terč Korporátní sítě
Riziko odhalení Nízké (middleman role)
Úroveň 4: Elita
Regionální APT
Nástroje / Taktika RansomHub, LockBit 3.0
Průměrný zisk $5M+ / kampaň
Hlavní terč Státní správa, kritická infra
Riziko odhalení Velmi nízké (profesionální krytí)
Zdroj: Trend Micro Brazil threat landscape, Kaspersky LATAM report

Vyjde ven do žáru ulice Rua Inácio. Vzduch voní po výfukových plynech a smaženém těstě. Myslí na otcovo jeitinho — jak se snažil fungovat v systému, brát bokovky, vyjednávat laskavosti, ohýbat se, ale nikdy nezlomit. A kam ho to dovedlo? Ke křečovým žilám a penzi, která sotva pokryje nájem.

Ne. Rafael nebude improvizovat. Bude konstruovat.

Té noci ve svém bytě sestavuje arzenál. Nechává Shodan a Censys chrlit data a učí se v nich pokládat přesné dotazy, které vytahují známé slabiny: zastaralé VPN SonicWall, neaktualizovaná rozhraní Fortinetu, RDP servery s vypnutým NLA. Píše pythonové skripty, které výsledky stahují, třídí a filtrují podle rozsahů IP a vlastnictví sítí, aby oddělil korporátní infrastrukturu od šumu a pastí. Staví stroj, který ho bude krmit.

Pak objeví trhy s infostealery.

Naráží na skrytou vrstvu internetu, kde se ve velkém obchoduje s přístupy a cizími životy. Na telegramových kanálech s neustále se měnícími názvy a na uzavřených fórech schovaných za anonymizačními vrstvami se prodávají logy — komprimované archivy dat vytěžených malwarem jako RedLine a LummaC2. Uvnitř jsou přihlašovací údaje, cookies, data z automatického vyplňování, někdy i VPN konfigurace a tokeny relací. Tisíce záznamů. Sklizených z nakažených počítačů po celém světě operátory, které Rafael nikdy nepotká.

Anatomie digitální identity: Co ukrývá infostealer log?

+

Zatímco Rafael prodává hotové přístupy, jeho surovinou jsou infostealer logy. Nejde jen o seznam hesel; jeden log je kompletní digitální otisk celého počítače. Proklikejte si simulaci obsahu běžného logu, abyste viděli, jak snadné je převzít něčí identitu.

Archive_US_Log.zip
🔑 Passwords.txt
🍪 Cookies.json
📝 Autofill.txt
🖥️ SystemInfo.txt
🌐 VPN_Config.ovpn
Extrahovaná hesla z prohlížečů
Malware dešifruje lokální databáze (Chrome, Edge, Firefox) a vytáhne všechna uložená hesla uživatele.
URL: https://portal.transportadorasul.com/login USER: j.silva@transportadorasul.com PASS: Logistica2023! URL: https://github.com/login USER: jsilva_dev PASS: dev_master_99
Aktivní Session Tokeny
Nejcennější část logu. Ukradené aktivní cookies umožňují hackerovi obejít vícefázové ověření (MFA), protože server si myslí, že se uživatel již dříve úspěšně přihlásil.
[ { "domain": ".microsoftonline.com", "name": "ESTSAUTH", "value": "0.AXUAm...[TRUNCATED]...BgA", "expirationDate": 1718900000 } ]
Data automatického vyplňování
Jména, adresy, telefonní čísla a často i částečná data z platebních karet, která prohlížeč nabízí při vyplňování formulářů. Ideální pro sociální inženýrství.
Name: João Silva Phone: +55 11 9999-8888 Address: Rua das Flores 123, São Paulo, SP Card: **** **** **** 4589 (Exp: 12/26)
Hardwarový a softwarový otisk
Detailní profil napadeného stroje. Hacker ví, proti jakému antiviru stojí a přes jakou IP adresu se připojit, aby nevzbudil podezření v bezpečnostním dohledu.
OS: Windows 11 Enterprise (Build 22621) IP: 203.0.113.45 (Brazil) HWID: 39B4-E82A-C10F-99D2 Antivirus: Sophos Endpoint Defense (Disabled) Privileges: Standard User
Firemní VPN konfigurace
Přístupové certifikáty a konfigurace pro vzdálený přístup do vnitřní sítě korporace. Zlatý důl pro Initial Access Brokery.
client dev tun proto udp remote vpn.hq-logistics-corp.com 1194 resolv-retry infinite -----BEGIN CERTIFICATE----- MII... [CERTIFICATE DATA] ...== -----END CERTIFICATE-----

Tržní podíl a ceny Malware-as-a-Service (2024)

LummaC2 31,1 % trhu | ~$250 / měs.
Pokročilé obcházení EDR, excelentní krádež cookies.
RisePro 19,9 % trhu | ~$200 / měs.
Stealc 17,4 % trhu | ~$200 / měs.
RedLine 13,0 % trhu | ~$150 / měs.
Dříve dominantní. Pád tržního podílu po zatýkání operátorů.
Stovky USD Běžná cena za balík 1 000 náhodných logů
$10 – $100 Cena za 1 ks "prémiového" logu (Fortune 500)
Zdroj: KELA, Group-IB, Hudson Rock

Využije utržené peníze z prodeje přístupu do logistické firmy a koupí balík těchto dat. Archiv dorazí přes šifrované úložiště, odkaz chráněný heslem a časově omezený. Když ho rozbalí, běžný textový editor se zadusí objemem, takže data načte do skriptu a nechá si vypsat jen výřezy: e-maily, hesla, firemní domény. Je to mapa lidské nedbalosti — a je krásná.

Namátkou si vytáhne jeden záznam a najde aktivní session token pro středně velkou výrobní firmu v Ohiu. Opatrně nasimuluje stejné prostředí — user-agent, cookies, parametry relace — a během chvíle se dívá na jejich SharePoint, listuje interní dokumenty a z finanční zprávy ve složce Q4_Review si počítá roční obrat.

Ta moc je opojná, ale také děsivá.

Okamžitě se odpojí, smaže lokální artefakty, pročistí cache a logy. Další tři hodiny kontroluje VPN tunely, DNS a úniky provozu, znovu naváže spojení s náhodnými identitami a testuje, že killswitch skutečně funguje. Protože Rafael musí být obezřetný.

Session Token Hijacking: Konec éry hesel

+

Útočníci si uvědomili, že krást heslo je neefektivní, pokud je vyžadováno vícefázové ověření (MFA). Místo toho kradou aktivní „cookies“. Validita ukradeného tokenu je klíčovým faktorem, který určuje, jak velké okno příležitosti útočník má. Přejeďte myší přes pruhy pro zobrazení mechanismů obrany.

Platforma Časové okno pro zneužití
Microsoft 365
(Entra ID)
60 – 90 minut
Možnost revokace: Real-time Obrana: Continuous Access Evaluation (CAE). Token může být zneplatněn téměř okamžitě při detekci rizikové události.
Firemní VPN portály
8 – 12 hodin
Možnost revokace: Okamžitá Obrana: VPN session timeouts. Revokace proběhne okamžitě při manuálním odhlášení (logoutu) uživatele.
Google Workspace
1 – 24 hodin
Možnost revokace: Manuální / Policy Obrana: Session binding (v beta verzi) a IP checks. Závisí na striktním nastavení administrátora.
SaaS Apps
(Slack, Jira, aj.)
14 – 30 dní
Možnost revokace: Často chybí Obrana: Cookie expiration policies. U těchto platforem je obrana nejslabší a hacker má obrovské časové okno.
!

Riziko rezidentních proxy: Díky technologii CAE u Microsoftu může být token zneplatněn téměř okamžitě, pokud dojde k detekci změny IP adresy. Nicméně, pokud se útočník připojí přes kompromitovanou rezidentní proxy ve stejném regionu jako oběť, může token zůstat validní až 28 hodin.

Zdroj: Microsoft Entra, Google Workspace Admin Help, DeepStrike

São Paulo, červen 2024

Trestní zákoník mluví jasně — a novela Lei nº 14.155/2021 přinesla reálné následky. Rafael studuje text na svém ThinkPadu, modré světlo se mu odráží v očích, v brazilském Código Penal svítí žlutě zvýrazněný článek 154-A. Neoprávněný přístup do počítačového systému: jeden až čtyři roky odnětí svobody. Federální policie a její speciální jednotka UEICC — Unidade Especial de Investigação de Crimes Cibernéticos — už zatýká. Nejen hlučné idioty z TikToku, ale i profesionály. Tiché operátory.

Čte o operaci Lusocoin, kde vyšetřovatelé nedokázali prolomit Monero přímo — místo toho sledovali peníze na okrajích: burzy s KYC, konverzní body, chvíle, kdy si někdo přeléval zůstatky do Bitcoinu nebo na bankovní účet. Chyba nebyla v protokolu. Chyba byla v lidech.

Čte o brokerovi „r1z“, kterého dostalo opakované použití e-mailu na kriminálním fóru a na dávno zapomenutém LinkedIn profilu. Čte o metadatech ve screenshotech, o DNS únicích, o fatální chybě recyklovaných přezdívek.

Sledování Monera: Jak vyšetřovatelé trasují „nesledovatelné“

+

Vyšetřovací proces se nesoustředí na prolomení kryptografie samotného blockchainu Monera. Místo toho detektivové pátrají po chybách na takzvaných on/off-ramps — bodech, kde se kryptoměna mění na fiat (reálné peníze) nebo jiná aktiva.

BTC
1. Původní zisk (Bitcoin / USDT)
Útočník obdrží platbu za přístup nebo výkupné z ransomwaru na veřejně sledovatelný blockchain.
Swap
2. Konverzní bod (On-Ramp)
Útočník mění BTC na Monero (XMR) přes swap služby (např. FixedFloat). Zde vzniká stopa propojitelná s Bitcoinovým blockchainem.
Bod zranitelnosti: Analýza konverze
XMR
3. Síť Monero (Blockchain)
Kryptografická tma. Monero úspěšně skrývá odesílatele, příjemce i přesnou částku. Zde je útočník v bezpečí.
CEX
4. Krypto burza (Off-Ramp)
Aby útočník získal reálné peníze, musí Monero prodat. Většina velkých burz vyžaduje ověření identity.
Bod zranitelnosti: KYC (Know Your Customer)
Banka
5. Výběr do banky (Fiat)
Peníze dorazí na bankovní účet (např. v Brazílii). Vyšetřovatelé sledují časování a objemy transakcí.
Bod zranitelnosti: Behaviorální a časové vzorce

Případ „r1z“: Selhání operační bezpečnosti (OPSEC)

V případě brokera známého jako „r1z“ FBI neprolomila Monero. K odhalení jeho identity (Feras Albashiti) vedla přímá infiltrace a banální chyby — použití stejného e-mailu na kriminálním fóru a na veřejném LinkedIn profilu, či chyba při zakrytí IP adresy. Rafaelova paranoia v příběhu je tedy absolutně oprávněná.

Zdroj: Chainalysis Crypto Crime Report, US DOJ

Paranoia má fyzickou podobu. Stažení v ramenou, sucho v ústech. Rafael začne ritualizovat svůj OPSEC (operační bezpečnost). Ve čtvrti Santa Ifigênia, kde se nikdo na nic neptá, si za hotové koupí použitý notebook. Přelepí webkameru izolační páskou a přes ni ještě neprůhlednou náplast. Nainstaluje Qubes OS, provoz žene přes kompromitovanou rezidentní proxy ve východní Evropě. Pak přes Tor, na konci se připojí na další kompromitovanou VPN. Jeho poskytovatel internetu tak nevidí vstup do sítě Tor a exit node (výstupní uzel sítě Tor) nevidí skutečný cíl útoku, pouze IP adresu konečné VPN.

rafael@qubes-os:~/opsec_route$ ./trace_connection.sh
Místní HW Qubes OS
Proxy Východní Evropa
Síť Tor Anonymizace
Konečná VPN Kompromitovaná
Cíl Útoku Neznámý
Spojení navázáno. Tunel je aktivní. Trasování kompletní...

Vytváří si digitální identity s odlišnými jazykovými vzorci — jedna píše lámanou angličtinou s ruskou syntaxí, druhá plynulou portugalštinou s brazilskými idiomy. Nikdy je nemíchá.

Přestane chodit do posilovny a v neděli k matce. Čím méně existuje ve fyzickém světě, tím bezpečnější je v tom digitálním. Stává se duchem ve vlastním městě, párem očí za záclonu v osmém patře.

Každé ráno stejný rituál. Budík ve 4:00, kdy je favela nejtiší. Silná, černá, hořká káva. Stůl. Otevřený notebook. Nejprve skeny — automatické skripty projíždějí IPv4 prostor a hledají nové expozice. Pak třídění infostealer logů, přihlašovací údaje prohání validačním skriptem, který je testuje proti neinvazivním endpointům a ověřuje jejich funkčnost dříve, než se vůbec dotkne cílové sítě.

Oběti studuje do detailu. Ne jejich technologii — jejich hodnotu. Přes anonymní prohlížeče prochází veřejné registry a výroční zprávy, scrapuje LinkedIn přes jednorázové účty bez identity, agreguje data z uniklých databází firem jako Dun & Bradstreet. Tržby, počet zaměstnanců, odvětví — vše se dá při správném knowhow složit z veřejných střípků informací. Sestavuje seznamy:

Výroba, obrat 50 mil. USD, VPN přístup, kompromitovaný účet IT administrátora.

Učí se psát inzeráty s chirurgickou přesností:

„Region US. Logistika. 40M ARR. VPN + user s vysokými právy v intranetu. Čerstvé. Escrow přijímán.“

Samotný prodej je psychologické mučení. Používá Garant — escrow služby na fórech, kde administrátoři drží kryptomenu, dokud kupující nepotvrdí přístup. Dvacetičtyřhodinové ověřovací okno je věčnost. Rafael přechází po bytě sem a tam, každé tři minuty kontroluje zprávy na Jabberu, studený pot se mu lepí na záda navzdory chladné červnové noci. Když escrow uvolní — Confirmed — přijde nával. Postup o úroveň výš. Důkaz, že je schopný, že něco znamená.

A pak pád. Jistota, že právě teď ho chytí. Jeho paranoia přebírá kontrolu. Zavře okno jednorázového DisposableVM, čímž ho i s logy nenávratně zničí, změní Tor obvod pro novou IP adresu. Hardware je v bezpečí, ale jeho tělo ne.

Srdce mu buší tak silně, až cítí pulzování v čelisti. Každý zvuk z chodby, každé zavrzání výtahu zní jako těžké boty zásahové jednotky. Vstane od stolu, ale místnost se s ním zhoupne. Dusno v bytě je najednou nesnesitelné, tričko má přilepené na zádech studeným potem. Potřebuje šok. Potřebuje silný fyzický vjem, který by přerušil tu nekonečnou smyčku katastrofických scénářů v jeho hlavě.

Vklopotá do své malé koupelny. Ani se neobtěžuje svlékat, rovnou zatáhne za páku baterie.

Sedí ve sprše. Oblečený na sebe nechává téct studenou vodu, dokud mu nezačnou cvakat zuby.

Chápe, že i když vydělává peníze, víc než kdykoli v SOCu, je sám. Trh je nestabilní a každá transakce je sázkou o svobodu.

Oblečený na sebe nechává téct studenou vodu, dokud mu nezačnou cvakat zuby

São Paulo, 17. ledna 2025

Extrémní vlhko a dusno leží v letním počasí na městě jako poklička. Rafaelova kůže zbledla nedostatkem slunce. Čtyři dny nebyl venku.

Zírá na data ve své šifrované zóně Vault VM. Sedmačtyřicet ověřených přístupů. Výrobní firmy na americkém Středozápadě. Logistické společnosti v Německu. Poskytovatel zdravotní péče v Austrálii. Zefektivnil se, zmechanizoval. Dopaminové špičky už jsou menší, rutinní. Je dodavatel v dodavatelském řetězci, ale nestabilita maloobchodního trhu — smlouvání, nespolehliví affiliate partneři, riziko, že kupující přístup spálí dříve, než zaplatí — ho vyčerpává.

Katalog přístupů: Strategická distribuce a ohodnocení

+

Rafaelův inventář není jen náhodný seznam. IABs (Initial Access Brokers) udržují svá portfolia na základě přesných tržních pravidel. Cena a prodejnost přístupu se radikálně mění podle "trvanlivosti", geografické polohy oběti a jejího sektoru.

Trvanlivost přístupu (Dwell Time)

Doba od infiltrace po detekci obránci sítě se dramaticky zkracuje. IABs musí prodávat rychleji.

2022
Medián 16 dní
2024/25
Medián 4 dny
Geografické cenové multiplikátory
USA
1,0x
Baseline. Nejvyšší příjmy obětí a široká dostupnost kybernetického pojištění.
Německo (DACH)
0,85x
Silný průmysl, extrémně vysoká ochota platit za kontinuitu výroby.
Austrálie
0,75x
Rostoucí trh, zranitelné specifické kritické sektory.
Brazílie / LATAM
0,40x
Nižší kupní síla, ale snadnější exekuce díky slabší obraně.
Indie
0,25x
Masivní objem přístupů, ale velmi nízká úspěšnost plateb výkupného.
Prémiové sektory
Výroba (Manufacturing) Trend 2025
Zastavení jedné továrny může způsobit miliardové škody v dodavatelském řetězci. V roce 2025 poprvé předstihla zdravotnictví a čelila 72 % všech průmyslových ransomwarových útoků.
Zdravotnictví (Healthcare) + 15-20 % přirážka
Historicky nejlukrativnější. Útočníci si účtují prémiové ceny, protože nemocnice si nemohou dovolit dlouhé výpadky bez bezprostředního ohrožení lidských životů.
Zdroj: Rapid7, Sophos Active Adversary Report, Dragos

Otevře fórum. Kurzor bliká. Už nechce být prodejce. Chce být partner.

Příspěvek od A.M. se objevil v 03:15. Strohá věc. Bez emotikonů, bez efektních řečí. Jen parametry.

„Hledám initial access brokera na dlouhodobou spolupráci. Čistá historie. Podíl na zisku 20 %. Jen vážní zájemci.“

Srdce se mu rozbuší tím známým, bolestivým rytmem. Doufá, že je to ten typ. Architekt. Ne skriptovací dítě, které chce rychlý zásah. Tohle je struktura, další úroveň.

Položí prsty na klávesnici. Třesou se. Píše odpověď, rychlou, dychtivou, příliš emocionální:

„Mám skvělé věci, spoustu přístupů, jsem připraven tvrdě pracovat, prosím—“

Zastaví se. Všechno smaže.

Vstane, jde k oknu. Město pod ním — mřížka světla a tmy, řádu a chaosu. Vybaví se mu otec u brány továrny, jak odevzdává nářadí, přijímá krabici, přijímá ponížení. Soutěž v technologiích, kde vyhrál syn porotce s kódem, co za něj psal tutor. Logistická firma. Dva tisíce dolarů. Ten pocit, že si konečně vzal kontrolu zpět.

Nebude prosit. Nebude působit zoufale. Status je všechno.

Posadí se. Nadechne se. Napíše:

„Mám zdroje. Několik přístupů – RDP, VPN, slabé sítě. Více sektorů, více zemí. Máš zájem o spolupráci?“

Třikrát si to přečte. Je to chladné. Sebevědomé. Rovný s rovným.

Najede kurzorem na Odeslat. Venku v dálce houká policejní siréna, zvuk se přelévá ulicemi. Rafaelův prst se vznáší, lehce se třese. Myslí na sedmačtyřicet položek ve svém virtuálním trezoru, na arzenál, který vybudoval, na disciplínu vykovanou ve vlastní úzkosti.

Klikne.

Zpráva zmizí, šifrovaná, putuje přes Tor nody k serveru někde v mrazivé zemi, kterou nikdy neviděl.

Čeká. Kurzor bliká. Klimatizace hučí.

Pak přijde odpověď. Stejně strohá jako původní příspěvek:

„Zítra začínáme. Tvoje provize je 20 %. Ty dodáváš přístupy. Já vybírám cíle, řídím operaci a vyjednávám. Pošli mi seznam. Vyberu z něj. Když selžeš, končíš. Potvrď.“

Rafael zírá na obrazovku. Slova se mírně rozmazávají. Cítí tlak za očima, slzy, které nevyjdou ven. Ne slzy smutku — slzy úlevy. Uznání. Konečně není sám ve tmě. Konečně existuje systém, který oceňuje jeho schopnosti, který mu dá pravidelný tok peněz i status, po němž touží.

Otře si oči hřbetem ruky. Napíše:

„Potvrzuji. Jsem připraven.“

Stiskne Enter. Tiše sedí a přemýšlí.

Obrazovka zčerná, notebook se po dvou minutách nečinnosti automaticky zamkne — jeho bezpečnostní protokol. Sedí ve tmě. Venku začíná pršet, těžké tropické kapky bubnují na parapet, zní to jako potlesk.

Rafael Costa se opře v židli.

Už to není jen kluk z Vila Prudente, který hledá pomstu. Je profesionál. Má inventář. Má partnera.

A opravdový lov začíná zítra.

Závěrem

Rafael sedí ve tmě osmého patra ve Vila Prudente. Déšť na plechové střeše ztišil svůj rytmus a notebook se automaticky zamkl – další den v nekonečné sérii rituálů opatrnosti skončil. Na druhé straně planety, v suchém a temperovaném bytě na Vasilevském ostrově, Alexej otevírá šifrovaný soubor obsahující seznam sedmačtyřiceti položek. Nejsou to jen IP adresy a hesla; jsou to možnosti. Každý záznam představuje firmu s ročním obratem, geografickou polohou a technickou infrastrukturou – surovina, kterou je třeba proměnit v zisk.

Ale architekt ví, že ne každá otevřená zeď se vyplatí dobýt. V příštím dílu se přesuneme z brazilského horka do petrohradského chladu a sledujeme, jak Alexej přistupuje k výběru cíle. Ukážeme si, že ransomware není náhodný akt násilí, ale chirurgicky plánovaná operace: analýza tržeb, mapování zálohovacích systémů, vyhodnocení právních rizik a odhady ochoty platit. Uvidíme, jak se z dat stává oběť – a jak se z brokera, který dodává přístupy, stává nezbytný, ale nahraditelný článek v řetězci, který řídí někdo jiný.

Ohodnoťte prosím příspěvek. Díky tomu budeme vědět, na jaký obsah se v budoucnu soustředit.

Chcete být informováni o nových článcích na blogu Solutia?

Sledujte aktuální novinky a trendy z IT světa na našem profilu.

Sledovat na LinkedIn