Jak cyberprzestępczość zmienia oblicze zorganizowanych gangów w Europie

Przez
Łukasz Malinowski
-
0
5
Rate this post

Z tego wpisu dowiesz się:

Od ulicy do chmury – jak gangi weszły w świat cyfrowy

Od haraczu na rogu ulicy do ataku z serwera VPS

Klasyczny obraz europejskich gangów to handel narkotykami, wymuszenia, prostytucja, przemyt ludzi i broni. Model był prosty: terytorium, lojalność, przemoc fizyczna. Kontrola odbywała się na poziomie ulicy – przez obecność, zastraszanie, widoczne symbole siły. Dochody pochodziły z lokalnych rynków i były ograniczone logistyką: trzeba było przewieźć towar, opłacić kurierów, spotkać się z ofiarą.

Cyfrowa transformacja przestępczości zorganizowanej wywróciła ten paradygmat. Ten sam gang, który dawniej „opiekował się” okolicznymi klubami nocnymi, dziś może zarabiać na ofiarach rozsianych po całej Europie, bez fizycznego kontaktu i bez wchodzenia na cudze terytorium. Zamiast „wejścia z bejsbolem” do lokalu mamy wejście przez niezałatany serwer WWW, zdalny pulpit (RDP) czy dziurę w VPN.

W praktyce oznacza to, że tradycyjne gangi zaczęły inwestować w kompetencje cyfrowe: najpierw kupując usługi od niezależnych hakerów, później tworząc własne „cyber-oddziały”. Uderzają już nie tylko w lokalne biznesy, lecz także w małe samorządy, szpitale, kancelarie prawne i średnie firmy produkcyjne w całej Europie. Anonimowość, globalny zasięg i skalowalność ataków powodują, że przy podobnym poziomie ryzyka prawnego zyski potrafią być wielokrotnie większe niż w „ulicznej” narkobiznesie.

Dlaczego przejście do sieci było logicznym krokiem

Z perspektywy czysto „biznesowej” cyberprzestępczość ma dla zorganizowanych gangów kilka kluczowych zalet. Po pierwsze, ogromna skalowalność. Klasyczny skimming jednej bankomatowej maszyny dawał ograniczony zysk; dziś to samo środowisko przestępcze może obsługiwać setki tysięcy kart dzięki wyciekom baz danych i masowym atakom phishingowym.

Po drugie, znacznie mniejsze ryzyko fizycznej konfrontacji. Wymuszenie haraczu na właścicielu restauracji wymaga spotkania, groźby, często pobicia lub zniszczenia mienia. Atak ransomware na tę samą restaurację lub jej księgowość da się przeprowadzić z drugiego końca Europy, korzystając z wynajętego serwera VPS opłaconego kryptowalutą. Ryzyko bezpośredniego zatrzymania „na gorącym uczynku” spada dramatycznie.

Po trzecie, globalny rynek. Gang z jednego miasta w Europie może dziś uczestniczyć w programie ransomware-as-a-service (RaaS), który uderza w firmy w Niemczech, Hiszpanii czy Skandynawii, nie znając ani języka, ani lokalnego prawa. Logika „terytorium” ustępuje miejsca logice „dostępu”: liczy się, kto ma dane logowania do panelu, kto dysponuje bazą e-maili, kto ma kontakt do zaufanego „cash-out teamu”.

Wreszcie – łatwość dywersyfikacji. Gangi mogą jednocześnie prowadzić „tradycyjne” interesy (np. handel narkotykami, prostytucja) oraz cyfrowe: phishing, BEC, ataki DDoS z szantażem. To nie są osobne światy, lecz wzajemnie wzmacniający się ekosystem. Dochody z narkotyków inwestuje się w infrastrukturę cyberataków, a zyski z ransomware w legalne biznesy, które ułatwiają pranie pieniędzy.

Pierwsze cyfrowe odnogi: skimming, fałszywe karty, oszustwa online

Pionierami cyfrowej transformacji wielu gangów były szajki zajmujące się fałszowaniem kart płatniczych. Skimming – kopiowanie danych z paska magnetycznego – szybko stał się domeną zorganizowanych grup, bo wymagał sprzętu, kontaktów z „plastikowcami” (fałszerzami kart) i sieci zagranicznych kasjerów wypłacających gotówkę. To właśnie te grupy nauczyły się pierwsze, jak zarabiać na cyfrowych danych, a nie na fizycznym towarze.

Kolejnym etapem były proste oszustwa online: fałszywe sklepy internetowe, aukcje z nieistniejącym towarem, wyłudzanie przedpłat za usługi. Na początku często w tle działał ten sam lokalny gang, który po prostu „podczepiał” się pod nowe narzędzia. Ktoś z ekipy „ogarniał komputery”, zakładał konta w serwisach aukcyjnych, tworzył strony. Reszta – czyli zastraszanie, wymuszanie milczenia, odzyskiwanie długów od nieuczciwych partnerów – pozostała analogiczna jak w starym modelu.

Z czasem takie poboczne odnogi zaczęły rosnąć w samodzielne, wyspecjalizowane komórki. Gdy pojawiły się kryptowaluty, płatności online, przelewy natychmiastowe, a także masowe serwisy społecznościowe, tradycyjne gangi zrozumiały, że nowy „teren” do opanowania to nie dzielnica miasta, lecz infrastrukturę sieciową, loginy i hasła, urządzenia mobilne i naiwność zwykłych użytkowników.

Nowa architektura gangów – od hierarchii do modelu „platformy”

Od piramidy do sieci podwykonawców

Klasyczne zorganizowane grupy przestępcze działały w logice piramidy: boss, kapitanowie, żołnierze, „żółtodzioby”. Linie dowodzenia były jasne, a lojalność wymuszana przemocą i więzią środowiskową. W cyberprzestępczości ten model się rozmywa. Zamiast jednej, spiętej hierarchii coraz częściej pojawia się model platformowy – zleceniodawca zlecający konkretne zadania wyspecjalizowanym zespołom lub indywidualnym wykonawcom.

W praktyce europejski gang może stać się „operatorem” całego przedsięwzięcia, ale kluczowe elementy wykonują zewnętrzni dostawcy: programista pisze malware, inni dostarczają gotowy botnet, kolejni mają dostęp do baz skradzionych haseł, a jeszcze inni przejmują rolę „money mule”, wyprowadzając środki z kont. Struktura bardziej przypomina elastyczną chmurę usług niż sztywną mafijną rodzinę.

To rozluźnienie hierarchii utrudnia organom ścigania rozbijanie grup. Nawet jeśli służby zatrzymają część operatorów na terytorium jednego państwa, pozostałe ogniwa (hakerzy, sprzedawcy danych, operatorzy infrastruktur) często znajdują się w innych krajach albo funkcjonują jako luźni podwykonawcy, których łatwo zastąpić. Z punktu widzenia gangów zwiększa to odporność całego ekosystemu na uderzenia policji.

Crime-as-a-service – przestępczy odpowiednik SaaS

Zjawisko crime-as-a-service (CaaS) polega na tym, że większość elementów cyberataku można wynająć lub kupić jak zwykłą usługę IT. Dla tradycyjnych gangów, które wcześniej nie miały know-how technicznego, to kluczowa zmiana. Nie trzeba mieć w szeregach geniusza informatyki, by przeprowadzić skuteczny atak – można po prostu wykupić „pakiet” w darknecie.

Typowe elementy CaaS obejmują między innymi:

  • sprzedaż baz logowań (np. do poczty firmowej, paneli administracyjnych, RDP);
  • wynajem botnetów do ataków DDoS i rozsyłki spamu lub phishingu;
  • gotowe kity exploitów (zestawy luk do zautomatyzowanego włamywania się do systemów);
  • panele do obsługi ransomware wraz z instrukcją obsługi i „supportem”;
  • usługi mieszania i prania kryptowalut, w tym automatyczne miksery i tumblery.

Gang staje się klientem takiej przestępczej „platformy”, w której opłaca dostęp do narzędzi, a w zamian otrzymuje część zysków lub zachowuje je w całości po uiszczeniu z góry abonamentu. Analogia do modelu SaaS (software as a service) jest pełna: subskrypcje, aktualizacje, wersje premium, a nawet programy partnerskie.

Komunikacja: szyfrowane komunikatory i zamknięte kanały

Cały ten ekosystem nie istniałby bez niezawodnych kanałów komunikacji. Dawniej gangi polegały na spotkaniach „na żywo”, lokalnych telefonach i prostych szyfrach językowych. Dziś trzonem są szyfrowane komunikatory, fora w darknecie i zamknięte grupy na Telegramie czy innych platformach. To tam rekrutuje się podwykonawców, negocjuje stawki i ocenia reputację współpracowników.

Wśród przestępców rozpowszechniły się komunikatory oferujące end-to-end encryption, samozniszczalne wiadomości, a także możliwość tworzenia kanałów i supergrup, w których jedna osoba może zarządzać setkami ludzi. Wiele głośnych gangu zostało rozpracowanych dopiero po przejęciu przez służby kluczy szyfrujących do takich komunikatorów lub po wbudowaniu kontrolowanego przez policję komunikatora w sam środek przestępczego rynku.

Połączenie komunikatorów z forami darknetowymi tworzy swoistą „nową ulicę” – przestrzeń, w której łatwiej znaleźć specjalistę od malware niż lokalnego dilera. Systemy reputacji, escrow (depozyt środków u zaufanej trzeciej strony) i publiczne „vouchery” zastąpiły tradycyjne mafijne polecanie znajomych. Gangi uczą się działać jak platformy, często stosując rozwiązania bardzo podobne do tych znanych z legalnego biznesu.

Połączenie świata offline i online

Model platformowy nie oznacza końca przemocy fizycznej – raczej jej optymalizację. Wielu przestępców stosuje teraz hybrydowe schematy. Na przykład: lokalny gang wysyła do przedsiębiorcy e-mail z groźbą ataku DDoS na jego sklep internetowy lub sieć firmową. Jeżeli ofiara nie zapłaci, następuje cyfrowe uderzenie. Jeżeli nadal odmawia, pojawia się klasyczna „wizyta” pod domem lub w siedzibie firmy.

Taki miks sprawia, że z perspektywy ofiary granica między cyberprzestępczością a klasycznym wymuszeniem zaciera się. Z technicznego punktu widzenia „produktem” gangu może być pakiet: atak DDoS + telefoniczny szantaż + „opieka” nad firmą po zapłaceniu haraczu. W rozliczeniach wewnętrznych część kwoty trafia do operatora botnetu, część do lokalnego gangu, a część do pośredników finansowych.

Warto też podejrzeć, jak ten temat rozwija praktyczne wskazówki: przestępczość — znajdziesz tam więcej inspiracji i praktycznych wskazówek.

Mechanizm jest brutalnie prosty: cyfrowe narzędzia służą dziś do wzmocnienia tradycyjnych form nacisku. Przedsiębiorca nie widzi już tylko „chłopaków pod klubem”, widzi również zatrzymany sklep internetowy, skradzione bazy klientów i groźbę ujawnienia poufnych danych w darknecie. Pakiet presji jest kompletny.

Cyberprzestępczość jako „franczyza” – kto naprawdę stoi za atakami

Ransomware-as-a-Service – przestępcza franczyza w czystej postaci

Ransomware-as-a-Service (RaaS) to konkretny wariant crime-as-a-service, który szczególnie mocno przeobraził zorganizowane gangi w Europie. Podział ról jest tu wyraźny. Na samej górze są twórcy oprogramowania ransomware – tworzą kod, panel zarządzania, infrastrukturę C2 (command & control) i serwery płatności. Poniżej działają „affiliate” – partnerzy, którzy odpowiadają za włamania do firm, rozprzestrzenianie malware oraz negocjacje z ofiarami.

Taki model działa jak franczyza: dostawca RaaS dostarcza markę, know-how, narzędzia i infrastrukturę, a „franczyzobiorca” – w tym przypadku lokalny gang – dostarcza lokalny rynek, ścieżki ataku, kanały prania pieniędzy i umiejętność zastraszania. Zysk z okupów dzielony jest według ustalonych wcześniej proporcji. Często panel ransomware ma wbudowany system rozliczeń, który automatycznie nalicza procent twórcom malware.

Dla europejskich gangów RaaS to rewolucja: mogą skupić się na tym, co znają – lokalnej wiedzy o firmach, presji psychologicznej na ofiarach, organizacji „cash-outu” – a całą złożoność techniczną pozostawić specjalistom. To też tłumaczy, dlaczego tak wiele ataków wygląda podobnie – bo stoją za nimi te same „silniki” RaaS, używane przez różne grupy w różnych krajach.

Realistyczny scenariusz: lokalny gang jako operator franczyzy

Typowy scenariusz: średniej wielkości gang w jednym z państw Europy, mający dotąd doświadczenie w wymuszeniach i prostytucji, szuka nowych źródeł dochodu. Jeden z członków ma pojęcie o komputerach, śledzi fora w darknecie i sugeruje wejście w RaaS. Grupa kupuje dostęp do panelu ransomware i prosty „manual” użytkowania. Następnie wyszukuje lokalne firmy z kiepskim zabezpieczeniem IT – często to biura rachunkowe, małe przychodnie, rodzinne firmy transportowe.

Do ataków wykorzystują zakupione wcześniej dane logowania do poczty, skradzione hasła z wycieków lub przejęte konta VPN. Po udanym włamaniu szyfrują dane, zostawiają notatkę z żądaniem okupu. Negocjacje prowadzi ktoś, kto potrafi jednocześnie używać specjalistycznego żargonu („klucze deszyfrujące”, „logi serwera”), ale też podkręcić presję, grożąc ujawnieniem wrażliwych informacji w darknecie.

Jednocześnie gang wykorzystuje stare zasoby: ma ludzi zdolnych do zastraszania, ma dostęp do szemranych kantorów, do sieci słupów („money mule”) i legalnych firm-skorup. Gdy okup spływa w kryptowalucie, część środków zasila panel RaaS, reszta przepuszczana jest przez kilkanaście portfeli, miksery i wypłacana w gotówce w różnych krajach. Z perspektywy mieszkańców miasta gang „zniknął z ulicy”, ale w rzeczywistości jedynie zmienił kanał działania.

Podwykonawcy do prania pieniędzy i ich powiązania z mafią

Sieci „money mule” jako usługa

Pranie pieniędzy w epoce kryptowalut i natychmiastowych przelewów bankowych stało się kolejną specjalizacją, którą można po prostu wynająć. Zamiast utrzymywać własną, ryzykowną infrastrukturę, gangi sięgają po gotowe sieci „money mule” – pośredników finansowych wypłacających środki i rozpraszających je po różnych rachunkach oraz krajach. Takie sieci bywają sprzedawane dosłownie jak produkt: pakiet X „mułów” w danym regionie, z określoną przepustowością (ile gotówki miesięcznie są w stanie „obsłużyć”).

Rekrutacja „mułów” jest w dużej mierze zautomatyzowana. Ogłoszenia pracy zdalnej, „testowanie systemów płatności”, „asystent finansowy” – to klasyczne przykrywki. Kandydat nie musi znać gangu, często nie zna nawet źródła środków. Dostaje przelew, ma go wypłacić i przesłać dalej w kryptowalucie lub przekazem gotówkowym. Z perspektywy gangu taki jednorazowy „mule” jest zużywalnym komponentem, jak jednorazowa karta SIM.

Na wyższym poziomie działają bardziej profesjonalne struktury: firmy-krzaki oferujące „doradztwo podatkowe”, sieci kantorów kryptowalut w turystycznych dzielnicach, zaufani księgowi. Część z nich ma bezpośrednie powiązania z tradycyjną mafią, która od dekad specjalizuje się w legalizowaniu zysków z narkotyków czy hazardu. Teraz do tego samego strumienia doklejają wpływy z ransomware, oszustw BEC i phishingu.

Mafia jako „bank” i gwarant zaufania

Klasyczne organizacje mafijne pełnią coraz częściej rolę zaplecza finansowego dla cyfrowych gangów. Działają jak nieformalny bank: przyjmują wyprane środki, inwestują je w nieruchomości, restauracje, transport czy „czyste” firmy usługowe. W zamian pobierają prowizję i rozszerzają swoją kontrolę nad nowymi sektorami gospodarki.

Kluczowa funkcja mafii to też gwarancja zaufania. W środowisku, gdzie większość kontaktów odbywa się anonimowo przez komunikatory, pojawia się potrzeba „fizycznego” arbitra. Jeżeli operator ransomware z jednego kraju twierdzi, że nie otrzymał należnej części okupu od lokalnego gangu w innym państwie, a w tle są znaczące kwoty, konflikt może rozstrzygać trzecia strona – często właśnie tradycyjna mafia mająca ludzi na miejscu. Jej „autorytet” (czyli realna zdolność do użycia przemocy) zastępuje sąd i umowę cywilną.

Efekt jest taki, że linia podziału między „starymi” a „nowymi” gangami zaciera się. Cyberprzestępcy korzystają z logistycznego i finansowego zaplecza mafii, a mafia przejmuje cyfrowe know-how i część specjalistów. Powstają hybrydowe organizacje, w których równie ważny jest człowiek umiejący obsłużyć portfel kryptowalut, jak i „klasyczny” egzekutor długu.

Klocki Scrabble układające się w słowo SCAM na jasnym tle
Źródło: Pexels | Autor: Tara Winstead

Zmiana „profilu zawodowego” gangstera – od osiłka do operatora

Nowe kompetencje: analityk, operator, social engineer

Wzrost znaczenia cyberprzestępczości zmienił profil ludzi, którzy robią karierę w gangach. Siła fizyczna i gotowość do przemocy nadal mają znaczenie, ale na pierwszy plan wychodzą inne kompetencje: umiejętność obsługi paneli administracyjnych, analiza danych, podstawy administrowania systemami, a przede wszystkim zdolności socjotechniczne (social engineering).

Rola „operatora” przypomina stanowisko w zespole bezpieczeństwa IT – tylko po drugiej stronie barykady. Taki człowiek:

  • potrafi wpiąć się w przejęte konto VPN i utrzymać w nim dostęp, nie wywołując alarmów;
  • umie korzystać z narzędzi skanujących (np. do wykrywania otwartych portów i znanych podatności);
  • koordynuje kolejne fazy ataku: wejście, eskalacja uprawnień, eksfiltracja danych, szyfrowanie, negocjacje.

Z kolei specjaliści od social engineeringu przygotowują scenariusze kontaktu z ofiarami. Uczą się języka biznesu, żargonu branżowego, przeglądają profile LinkedIn pracowników, aby podszywać się pod konkretne osoby. W połączeniu z dostępem do skradzionych maili daje to niebezpiecznie wiarygodne kampanie phishingowe i oszustwa BEC (Business Email Compromise).

Kariera od cheatów w grach do włamań korporacyjnych

Część nowych „rekrutów” trafia do gangów z zupełnie innego świata niż tradycyjna ulica. To ludzie, którzy zaczynali od pisania cheatów do gier, crackowania oprogramowania, prowadzenia małych sklepów z kradzionymi kontami czy handlem wirtualnymi przedmiotami. Z czasem poznają fora, na których towarzyszą im ci sami ludzie, ale stawki rosną – od kilku dolarów za konto w grze do tysięcy euro za dostęp RDP do sieci firmy.

Uwaga: nie chodzi o demonizowanie całej sceny modderskiej czy gamingowej. Chodzi o to, że kompetencje techniczne i brak szacunku do licencji oprogramowania są wygodnym punktem wejścia. Gdy pojawia się oferta „współpracy” z gangiem, motywacją bywa głównie chęć szybkiego zysku, czasem ego – udowodnienie, że „da się położyć” duży bank czy szpital.

Takie osoby rzadko zaczynają od przemocy czy wymuszeń. Często nie wychodzą nawet z domu, działają z laptopa. Do tradycyjnych struktur gangów wchodzą dopiero na późniejszym etapie – gdy trzeba rozliczyć się z partnerami, podzielić łupem, zainwestować środki w „legalny” biznes albo rozwiązać konflikt z inną grupą. Wtedy poznają „stare kadry”, a ich kariera zmienia się w klasycznie mafijną, tylko z cyfrowym twistem.

Normy, etyka wewnętrzna i „kodeks” cybergangu

Zmianie ulega też nieformalny kodeks. W wielu grupach cyberprzestępczych normy są zaskakująco podobne do tych znanych ze świata open source lub startupów: liczy się skuteczność, terminowość, jakość „produktu”. Kto zawali działanie panelu, poda wadliwy exploit lub „spali” kampanię phishingową przez błędy językowe, szybko traci reputację.

Równocześnie część gangów próbuje budować wizerunek „etycznych przestępców”: deklarują, że nie atakują szpitali, NGO-sów czy szkół, czasem faktycznie odblokowują dane po nagłośnieniu sprawy w mediach. Te deklaracje mają jednak głównie funkcję PR-ową – ułatwiają rekrutację nowych specjalistów z szarej strefy, którzy chcą wierzyć, że „nikogo nie zabijają, tylko biorą pieniądze od dużych firm”. Z organizacyjnego punktu widzenia jest to klasyczne narzędzie zarządzania wizerunkiem i motywacją zespołu.

Darknet, fora i Telegram – nowa ulica, nowe zaułki

Fora jako giełdy usług i reputacji

Fora w darknecie pełnią dziś rolę, którą kiedyś miały bary, kluby i miejsca spotkań gangów. To tam buduje się reputację, sprawdza wiarygodność partnerów, szuka podwykonawców. Struktura wielu takich for przypomina specjalistyczne serwisy ogłoszeniowe: sekcje z ofertami narzędzi, exploitów, baz danych, usług DDoS, sekcje rekrutacyjne, działy „review”, gdzie użytkownicy oceniają sprzedawców.

Mechanizmy są technicznie proste, ale psychologicznie dopracowane:

  • system rang i punktów reputacji za udane transakcje i pomoc techniczną;
  • mechanizmy escrow – środki wpłacane do depozytu, wypłacane dopiero po potwierdzeniu usługi;
  • wewnętrzne rozstrzyganie sporów przez „moderatorów”, często będących faktycznie częścią gangu zarządzającego forum.

Fora są też miejscem wymiany know-how. Pojawiają się tutoriale, gotowe playbooki ataków, drobne „tipy” pozwalające obejść konkretne rozwiązania bezpieczeństwa. Dla tradycyjnych gangów zaglądających tam po raz pierwszy wygląda to jak mieszanka kursu dla pentesterów z czarnym Allegro – techniczna, uporządkowana, zaskakująco „profesjonalna”.

Telegram, WhatsApp i zamknięte kanały jako taśmy produkcyjne

Jeżeli fora w darknecie są miejscem zawierania kontraktów, to szyfrowane komunikatory są miejscem bieżącej produkcji. W zamkniętych kanałach na Telegramie czy WhatsAppie działają całe „fabryki” kampanii phishingowych i oszustw BEC. Jeden kanał odpowiada za generowanie treści maili, drugi za listy adresów, trzeci za obsługę paneli, czwarty za wypłatę środków.

W praktyce komunikator staje się mini-ERP przestępczego biznesu:

  • lista zadań (ticketów) rozdzielanych między operatorów;
  • raporty z konwersji – ile maili wysłano, ile kliknięć, ile logowań przejęto;
  • błyskawiczne aktualizacje: „ten wzór phishingu już wykrywany, zmienić domenę i szablon”.

Uczestnicy często znają się wyłącznie po nickach. Przy dużej skali część zadań realizują osoby, które nie mają pełnej świadomości całego łańcucha – ktoś generuje fałszywe faktury, ktoś tłumaczy treści na lokalny język, ktoś inny tylko wkleja numery rachunków do systemu księgowego ofiary przejętego przez BEC. To mocno utrudnia śledztwo: nawet po zatrzymaniu pojedynczego członka kanału trudno mu przypisać cały schemat, bo widział tylko swój wycinek procesu.

Fragmentacja sceny i „mikrogangi”

Komunikatory i fora sprzyjają powstawaniu mikrostruktur. Nie potrzeba dużej organizacji, by przeprowadzić istotny atak – wystarczy kilka osób znających się z kanału, które łączą swoje kompetencje. Dwóch technicznych operatorów, jeden social engineer, jeden „finansista” od kryptowalut – i można zaatakować średniej wielkości firmę.

Te mikrogangi są często efemeryczne. Łączą się na czas konkretnej kampanii, dzielą zysk i znikają, po czym te same osoby pojawiają się w innych konfiguracjach osobowych. Dla organów ścigania oznacza to, że tradycyjne pojęcie „gangu” jako stabilnej struktury o stałej hierarchii traci znaczenie. Liczy się raczej sieć powiązań osobowych i portfeli kryptowalutowych niż oficjalna „przynależność” do jednej organizacji.

Dobrym uzupełnieniem będzie też materiał: Największe afery związane z praniem pieniędzy w Europie — warto go przejrzeć w kontekście powyższych wskazówek.

Ransomware, BEC, phishing – najpopularniejsze „produkty” gangów

Ransomware: od prostego szyfrowania do podwójnego i potrójnego wymuszenia

Ransomware pozostaje ulubionym narzędziem gangów, bo łączy skalowalność z przewidywalnym modelem biznesowym. Początkowo schemat był prosty: zaszyfrować dane, zażądać okupu za klucz deszyfrujący. Z czasem przestępcy zauważyli, że firmy coraz częściej mają kopie zapasowe i potrafią odtworzyć dane bez płacenia. Odpowiedzią było podwójne wymuszenie: przed szyfrowaniem dane są wykradane, a groźba dotyczy ich publikacji w darknecie.

Najnowszy wariant to potrójne wymuszenie: oprócz szyfrowania i groźby ujawnienia danych gang grozi też atakami na klientów lub partnerów biznesowych ofiary. Jeżeli firma nie zapłaci, informacja o wycieku i podatności jej systemów trafia do mediów i regulatorów, a klienci mogą stać się celem kolejnych kampanii phishingowych opartych na prawdziwych danych.

Technicznie ataki ransomware coraz częściej przypominają działania APT (Advanced Persistent Threat) – długotrwałe, złożone operacje, w których przestępcy siedzą w sieci tygodniami, mapują infrastrukturę, wyłączają systemy backupu i logowania, zanim uruchomią szyfrowanie. To nie jest już „strzał na ślepo”, tylko świadome zarządzanie ryzykiem i maksymalizacją okupu.

BEC – cyberodmiana klasycznego oszustwa „na prezesa”

BEC (Business Email Compromise) to dla wielu gangów atrakcyjny produkt, bo nie wymaga pisania zaawansowanego malware. Kluczem jest przejęcie skrzynki mailowej osoby decyzyjnej (np. dyrektora finansowego, prezesa) albo umiejętne podszycie się pod nią. Dalej wjeżdża klasyczna socjotechnika: pilne polecenie przelewu, prośba o zmianę numeru konta kontrahenta, „tajny” projekt wymagający szybkich płatności.

Nowością jest to, jak głęboko gangi analizują ruch mailowy ofiary. Przeglądają stare wiadomości, uczą się stylu pisania, typowych por pozdrowień, układu stopki. Znają realne relacje biznesowe, bo widzą całą historię korespondencji z konkretnym kontrahentem. W efekcie przygotowany mail wygląda jak naturalna kontynuacja istniejącej rozmowy – różni się tylko numerem rachunku.

W tle działają wyspecjalizowani dostawcy „inboxów” – dostępów do przejętych skrzynek. Handlują nimi jak towarem hurtowym: listy kont z podziałem na kraje, branże, wielkość firmy. Gang wybiera, które skrzynki warto „ogrzać” i wykorzystać w scenariuszach BEC, a które sprzedać dalej jako mniej wartościowe.

Phishing 2.0 – personalizacja i automatyzacja

Phishing przeszedł drogę od topornych maili z błędami językowymi do silnie spersonalizowanych kampanii, przy których trudno odróżnić fałszywą wiadomość od oryginału. Gangi korzystają z gotowych „builderów” phishingu – narzędzi generujących strony logowania do banków, portali firmowych czy usług chmurowych na podstawie kilku parametrów. Ktoś, kto nie umie napisać linijki HTML, potrafi w kilka minut wygenerować wiarygodną kopię strony banku.

Do tego dochodzi automatyzacja wysyłki. Botnety i wyspecjalizowane panele mailingowe obsługują rotację domen, serwerów SMTP, treści wiadomości. Algorytmy potrafią testować różne warianty tematu i treści (A/B testing), aby sprawdzić, które kombinacje generują najwyższy współczynnik kliknięć. To dokładnie te same techniki, z których korzysta marketing, tylko cele są inne.

Przestępczy „product management” i testowanie rynku

Modele działania gangów przy ransomware, BEC czy phishingu coraz bardziej przypominają zarządzanie produktem w firmach technologicznych. Zanim kampania ruszy pełną parą, pojawia się etap pilotażu: małe serie maili, kilka wariantów stron phishingowych, testowe próby wycieku danych z niewielkich organizacji. Chodzi o sprawdzenie, które wektory ataku są „opłacalne”, a które należy porzucić.

Testy obejmują zarówno technikalia, jak i reakcje rynku:

  • badanie skuteczności konkretnych exploitów i mechanizmów omijania EDR (Endpoint Detection and Response);
  • sprawdzanie, jak szybko dany ładunek malware pojawia się w sygnaturach AV i feedach threat intelligence;
  • obserwowanie typowych reakcji ofiar – kto szybciej płaci, kto częściej negocjuje, gdzie częściej wchodzą prawnicy i ubezpieczyciel;
  • analiza „szumu” w mediach i na Twitterze/X po wycieku – czy sprawa eskaluje, czy przechodzi bez echa.

Na tej podstawie gangi dopracowują pricing (wysokość okupu), czas trwania kampanii, a nawet ton komunikatów wysyłanych ofiarom. Jedne grupy budują narrację „jesteśmy profesjonalną usługą odzyskiwania danych, nie niszczymy plików”, inne świadomie grają brutalnym wizerunkiem, tak aby ich nazwa kojarzyła się z wysokim ryzykiem ignorowania żądań.

Łączenie wektorów – hybrydowe kampanie zamiast pojedynczych ataków

Ransomware, BEC i phishing rzadko funkcjonują w izolacji. Dla zorganizowanych struktur sens ma łączenie tych technik w jedną, spójną kampanię. Przejęta skrzynka mailowa może być równocześnie:

  • punktem wejścia do sieci (resetowanie haseł, wysyłanie zaufanych linków phishingowych do współpracowników);
  • narzędziem do BEC, gdy uda się podszyć pod realne wątki z kontrahentami;
  • źródłem danych wykorzystywanych przy kolejnych falach phishingu, już w innych firmach.

Scenariusz przypomina operację „szyjemy na wymiar”. Najpierw masowy phishing do wielu organizacji, potem selekcja tych, gdzie udało się zyskać dostęp do kont domenowych lub skrzynek osób decyzyjnych. Stamtąd gang przechodzi do rekonesansu, bocznego ruchu w sieci (lateral movement), podnoszenia uprawnień, aż po wdrożenie ransomware w newralgicznym momencie – np. tuż przed zamknięciem miesiąca księgowego.

Takie hybrydowe kampanie rozmywają tradycyjne kategorie „oszustwo”, „włamanie”, „szantaż”. Dla śledczych oznacza to kilka równoległych wątków prawnych, często podlegających różnym jurysdykcjom, bo inna firma jest ofiarą BEC, a inna – ransomware, choć stała za tym ta sama siatka.

Nocna ceremonia Ganga Aarti nad Gangesem w Rishikesh
Źródło: Pexels | Autor: Soubhagya Maharana

Nowe pola działania: logistyka, przemyt, przemoc jako usługa

Cyfrowe „wsparcie” dla klasycznego przemytu

Cyfryzacja gangów nie zatrzymała się na atakach na firmy. Te same narzędzia OSINT, szyfrowane komunikatory i panele zarządzające są wykorzystywane do klasycznych aktywności: przemytu narkotyków, ludzi, broni. Różnica polega na tym, że cała „operacja terenowa” jest spięta cyfrowym kręgosłupem.

Przykładowo:

  • ktoś odpowiada za przechwytywanie danych z systemów logistycznych i portowych, aby śledzić trasy kontenerów (często z wykorzystaniem wycieków API lub danych dostępnych półpublicznie);
  • ktoś inny zapewnia „logistykę cyfrową”: fałszywe dokumenty przewozowe, zmiany w systemach rezerwacyjnych, generowanie kodów QR i etykiet zgodnych z realnymi standardami przewoźników;
  • operator OSINT monitoruje służby i media lokalne, szukając wzmożonych kontroli granicznych, niepokojących ogłoszeń o zatrzymaniach itd.

Z punktu widzenia szarego członka gangu przewożącego paczkę przez granicę różnica jest subtelna, ale kluczowa: coraz częściej działa według instrukcji przesyłanych przez szyfrowany komunikator, a nie poleceń „szefa z osiedla”. Zaufanie przenosi się z relacji osobistej na infrastrukturę cyfrową zarządzaną przez centralę.

„Violence-as-a-Service” – outsourcing siły fizycznej

W świecie platform przestępczych pojawił się też segment przemocy jako usługi (Violence-as-a-Service). Dla części gangów, które przeszły do cyberprzestępczości, utrzymywanie dużej, lokalnej ekipy „bojówkarzy” przestaje być efektywne kosztowo. W zamian zlecają pojedyncze działania:

  • zastraszanie lub pobicie dłużnika;
  • „odwiedziny” u administratora, który próbuje negocjować warunki okupu lub współpracuje z policją;
  • podpalenie infrastruktury fizycznej (serwerownia, magazyn) jako sygnał ostrzegawczy.

Takie zlecenia trafiają do półprofesjonalnych ekip działających lokalnie, często powiązanych z kibolami, gangami motocyklowymi lub mniejszymi grupami etnicznymi. Komunikacja i rozliczenia idą przez te same kanały kryptowalutowe, które obsługują płatności za ransomware. W efekcie granica między „cyber” a „ulicą” robi się bardzo cienka: ten sam portfel BTC finansuje zarówno serwer C2, jak i „wizytę terenową”.

Przemoc reputacyjna: wycieki, doxing, kampanie oczerniające

Nie zawsze trzeba kogoś fizycznie pobić, żeby wymusić współpracę. Zorganizowane gangi coraz częściej korzystają z przemocy reputacyjnej. Wyciek prywatnych danych (doxing), publikacja intymnych zdjęć, spreparowane zarzuty o korupcję czy molestowanie – to wszystko bywa elementem presji na administratora, członka zarządu czy świadka.

Mechanizm jest prosty: podczas włamania przestępcy zbierają wszystko, co może „trzymać” ofiarę w szachu. Później pojawia się ultimatum: albo zapłata/wycofanie zeznań, albo upublicznienie kompromitujących materiałów. Przy dużych organizacjach dochodzą do tego kampanie dezinformacyjne: fałszywe wpisy w mediach społecznościowych, spreparowane „wywiady” na pseudoportalach, szerowane masowo przez boty.

Na tym tle tradycyjna przemoc fizyczna bywa wręcz mniej skuteczna. Złamaną rękę można wyleczyć; zniszczonego wizerunku prezesa czy naukowca – niekoniecznie. Dla gangów to po prostu inny wektor ataku, oparty na tym samym know-how, co kampanie phishingowe: analiza psychologiczna celu, profilowanie, dobór treści wywołujących określone emocje.

Nowe relacje z państwem: korupcja, parasole ochronne i „proxy wars”

Od lokalnych układów do geopolitycznych parasoli

Tradycyjne gangi funkcjonowały zwykle w ramach lokalnych układów korupcyjnych – powiązania z policją, samorządem, służbami. Cyberprzestępczość wprowadziła nową jakość: część grup działa de facto pod nieformalnym parasolem państw, które tolerują ich aktywność w zamian za „patriotyczne” zachowania, czyli nieatakowanie rodzimej infrastruktury i okazjonalne działania w interesie politycznym.

Objawia się to na kilka sposobów:

  • domniemane umowy „nie dotykamy waszych, wy nie dotykacie naszych” – gangi omijają firmy z konkretnego kraju, a służby tego kraju są mniej agresywne w ściganiu grup działających „na eksport”;
  • wsparcie techniczne ze strony służb – dostęp do lepszych exploitów, informacji wywiadowczych, infrastruktur pośredniczących;
  • wykorzystywanie gangów jako „pralni” dla operacji służb – np. kampania ransomware, za którą oficjalnie odpowiada grupa przestępcza, a faktycznie część środków lub danych trafia do struktur państwowych.

Dla Europy oznacza to, że niektóre operacje przeciwko gangom cyberprzestępczym wchodzą na poziom polityczny. Zatrzymanie jednego z liderów może powodować napięcia dyplomatyczne, a ekstradycja wymaga negocjacji między państwami, które formalnie są partnerami, a niekiedy – konkurentami w cyberprzestrzeni.

Korupcja cyfrowa: logi, dostępy, bazy danych

Cyberprzestępczość otworzyła nowy front korupcji: zamiast (lub obok) koperty z gotówką dla policjanta pojawia się „cichy” dostęp do systemów. W strukturach państwa jest wiele osób z uprawnieniami, które są bezcenne dla gangów: operatorzy systemów monitoringu miejskiego, administratorzy ewidencji ludności, pracownicy służby zdrowia, operatorzy systemów meldunkowych, funkcjonariusze z dostępem do baz SIS/Interpol.

Gangi płacą za:

  • podgląd logów z systemów śledczych – kto, kiedy, z jakiego biura sprawdzał dane konkretnego podejrzanego;
  • „czyszczenie” śladów w systemach – usuwanie zapisów o logowaniach, przejazdach, wejściach do stref chronionych;
  • dostęp do dużych, aktualnych baz danych (PESEL, rejestry medyczne, dane telekomunikacyjne) wykorzystywanych potem w phishingu czy social engineeringu.

Taka korupcja jest trudniej wykrywalna niż klasyczne łapówki. Nie ma podejrzanych przelewów ani nagłych skoków majątku – wynagrodzenie bywa wypłacane w gotówce, kryptowalutach lub w formie „usług” (np. wyczyszczenie czyjegoś długu wobec nieformalnej struktury). Po stronie państwa wymusza to zupełnie nowe podejście do kontroli dostępu i analizy anomalii w działaniach uprawnionych użytkowników.

Gangi jako podwykonawcy w konfliktach hybrydowych

W konfliktach hybrydowych – łączących działania militarne, wywiadowcze, informacyjne i ekonomiczne – zorganizowane grupy cyberprzestępcze stają się wygodnym narzędziem. Formalnie są „prywatną inicjatywą”, w praktyce mogą być delikatnie sterowane lub inspirowane przez państwowe podmioty.

Typowe zlecenia obejmują:

  • atak na infrastrukturę krytyczną kraju przeciwnika „pod przykrywką” ransomware;
  • wycieki danych polityków, dziennikarzy, aktywistów – oficjalnie w ramach „przestępstwa”, faktycznie jako operacja wpływu;
  • masowe kampanie phishingowe i DDoS w okresach wyborów, protestów, kryzysów energetycznych.

Z perspektywy gangu to po prostu dobrze płatne zlecenia, często z gwarancją względnej bezkarności, dopóki trzyma się ustalonych granic. Z perspektywy państw UE pojawia się natomiast trudne do rozwiązania sprzężenie: walka z gangami staje się częścią polityki bezpieczeństwa, a nie wyłącznie kwestią kryminalną.

Jeśli chcesz pójść krok dalej, pomocny może być też wpis: Mafia i sztuczna inteligencja – kto kogo wykorzystuje?.

Kontruderzenia: jak reagują służby i sektor prywatny

Operacje „hack-back” i rozbijanie infrastruktur

Na agresywne kampanie gangów odpowiedzią nie jest wyłącznie tradycyjne ściganie. Europol, krajowe CERT-y i prywatne firmy bezpieczeństwa coraz częściej angażują się w ofensywne działania techniczne. Chodzi zarówno o przejmowanie serwerów C2, jak i o podkradanie kluczy szyfrujących czy baz danych ofiar, zanim zdołają je spieniężyć przestępcy.

Typowa operacja wygląda jak projekt DevOps, tylko po drugiej stronie barykady:

  • identyfikacja infrastruktury gangu (serwery, panele, domeny, botnety) na podstawie telemetrii z EDR, sandboxów, honeypotów;
  • koordynacja z operatorami chmurowymi i rejestrami domen – szybkie zdejmowanie hostów, sinkholing domen (przekierowanie ruchu do kontrolowanego przez służby serwera);
  • czasem dyskretne wejście na serwer gangu i przejęcie części narzędzi, list ofiar, kluczy szyfrujących.

Uwaga: prawne ramy takich działań są w Europie znacznie bardziej restrykcyjne niż np. w USA. Otwarcie „hack-backu” przez prywatne firmy jest w większości krajów nielegalne, więc europejski model opiera się na ścisłej współpracy sektora prywatnego z państwowymi strukturami, które mogą prowadzić ofensywne operacje. W praktyce przypomina to wspólny SOC (Security Operations Center) dla całego ekosystemu.

Platformizacja obrony – ISAC, wymiana IOC i automatyzacja

Gangi korzystają z efektu sieciowego, więc sektor obronny robi to samo. Popularne stają się branżowe ISAC (Information Sharing and Analysis Center) – struktury wymiany informacji o zagrożeniach między firmami z jednej gałęzi gospodarki, np. energetyką, finansami, transportem. Przepływ danych (IOC – Indicators of Compromise, TTP – Tactics, Techniques and Procedures) jest automatyzowany przez standardy takie jak STIX/TAXII.

Scenariusz z praktyki: średni bank w Europie Środkowej wychwytuje nowy wariant kampanii BEC z użyciem specyficznych domen i szablonu maila. W ciągu godzin IOC trafiają do partnerów w ISAC, a ich systemy antyspamowe i EDR automatycznie aktualizują reguły. Kilka dni później ten sam schemat pojawia się w zachodniej Europie, ale większość prób jest już blokowana na bramkach pocztowych.

Dla gangów oznacza to skrócenie „cyklu życia” konkretnej kampanii. Co kiedyś działało miesiącami, dziś staje się bezużyteczne po kilku dniach intensywnej wymiany informacji po stronie obrony. To z kolei wymusza dalszą automatyzację i modularność ich narzędzi – łatwiej podmienić jeden komponent w „produkcie” niż budować wszystko od zera.

Ubezpieczenia cyber a kalkulacja ryzyka gangów

Najczęściej zadawane pytania (FAQ)

Jak cyberprzestępczość zmieniła tradycyjne gangi w Europie?

Tradycyjne gangi, które wcześniej opierały się na kontroli terytorium, fizycznej przemocy i lokalnych rynkach (narkotyki, haracze, prostytucja), przeniosły część działalności do sieci. Zamiast „wizyty z bejsbolem” w lokalu mają dziś włamanie na serwer, przejęcie zdalnego pulpitu (RDP) czy infekcję ransomware.

Dzięki temu mogą uderzać w ofiary w całej Europie, bez fizycznego kontaktu i bez wchodzenia na cudze terytorium. Zyski są wyższe, bo ataki są skalowalne – jeden gang może równolegle atakować setki firm czy instytucji, korzystając z tej samej infrastruktury technicznej.

Dlaczego gangom opłaca się przechodzić na cyberprzestępczość?

Przede wszystkim ze względu na stosunek ryzyka do potencjalnego zysku. Cyfrowe ataki pozwalają zarabiać na dużą skalę, przy minimalnym ryzyku fizycznej konfrontacji i zatrzymania „na gorącym uczynku”. Operacje prowadzi się zdalnie, często przez serwery VPS opłacone kryptowalutą.

Dodatkowo cyberprzestępczość daje:

  • globalny rynek ofiar (brak ograniczenia do jednej dzielnicy czy miasta),
  • możliwość automatyzacji ataków (phishing, masowe logowanie na przejęte konta),
  • łatwą dywersyfikację – ten sam gang może jednocześnie handlować narkotykami i prowadzić kampanie ransomware.

Na czym polega model crime-as-a-service (CaaS) i jak korzystają z niego gangi?

Crime-as-a-service (CaaS) to model, w którym elementy cyberataku kupuje się lub wynajmuje jak zwykłą usługę IT. Zamiast samodzielnie tworzyć złośliwe oprogramowanie czy budować botnet, gang wykupuje gotowy „pakiet” w darknecie: panele ransomware, bazy skradzionych haseł, botnety do DDoS, kity exploitów itp.

W praktyce gang staje się klientem przestępczej „platformy”. Płaci abonament, prowizję od zysków albo jednorazową opłatę i korzysta z narzędzi wraz z „supportem”. Uwaga: to obniża próg wejścia – do prowadzenia skutecznych ataków nie jest potrzebny własny zespół topowych hakerów.

Jak wygląda nowa struktura zorganizowanych gangów w erze cyberprzestępczości?

Zamiast klasycznej piramidy (boss – kapitanowie – żołnierze) coraz częściej mamy strukturę sieciową, zbliżoną do platformy. Gang pełni rolę operatora: koordynuje przedsięwzięcie, ale kluczowe zadania zlecane są podwykonawcom – programistom, operatorom botnetów, sprzedawcom baz danych, „money mules” (słupy do wypłat).

Taki model jest elastyczniejszy i odporniejszy na działania policji. Nawet jeśli jedna część łańcucha zostanie rozbita w danym kraju, pozostałe ogniwa działają dalej, często w innych jurysdykcjach. Poszczególnych podwykonawców da się szybko zastąpić, bo są rekrutowani na forach w darknecie i w szyfrowanych komunikatorach.

Jakie były pierwsze formy cyfrowej działalności tradycyjnych gangów?

Pionierską dziedziną był skimming – kopiowanie danych z pasków magnetycznych kart płatniczych. Wymagał specjalistycznego sprzętu, kontaktów z fałszerzami kart („plastikowcy”) i sieci ludzi wypłacających gotówkę za granicą, więc naturalnie przejęły go zorganizowane grupy.

Kolejne kroki to proste oszustwa online: fałszywe sklepy, aukcje z nieistniejącym towarem, wyłudzanie przedpłat. Początkowo obsługiwał je „ten, co ogarnia komputery” w ekipie, reszta mechanizmów (zastraszanie, ściąganie długów, kontrola partnerów) pozostawała analogowa. Z czasem te poboczne „cyfrowe odnogi” urosły do samodzielnych, wyspecjalizowanych komórek.

Jakie technologie i kanały komunikacji umożliwiają działanie cybergangów?

Kluczowe są szyfrowane komunikatory z end-to-end encryption, fora w darknecie oraz zamknięte kanały na platformach typu Telegram. Służą do rekrutacji podwykonawców, negocjacji stawek, wymiany narzędzi i budowania reputacji („feedbacki” jak w serwisach e-commerce, tylko dla przestępców).

Do samych ataków wykorzystywane są m.in.:

  • serwery VPS i chmury opłacane kryptowalutami,
  • panele RDP i słabo zabezpieczone VPN-y,
  • automatyczne narzędzia do phishingu i rozsyłki spamu,
  • usługi miksowania kryptowalut (miksery, tumblery) do prania środków.

Tip: większość tych elementów to standardowa infrastruktura IT – różnica polega na intencji i sposobie użycia.

Kogo najczęściej atakują „ucyfrowione” gangi i jak się przed nimi bronić?

Na celowniku są przede wszystkim cele „miękkie”, czyli podmioty z ograniczonym budżetem na cyberbezpieczeństwo: małe i średnie firmy, kancelarie, szpitale, lokalne samorządy, biura rachunkowe. Z zewnątrz wyglądają na „małe ryby”, ale często mają wrażliwe dane i niską odporność na przestoje, więc szybciej płacą okup.

Podstawowe środki obrony to:

  • regularne aktualizacje systemów i oprogramowania (zamykanie „dziur”),
  • multi-factor authentication (MFA) na poczcie, VPN, panelach administracyjnych,
  • backupy offline testowane pod kątem odtwarzania,
  • szkolenia z phishingu dla pracowników,
  • segmentacja sieci i ograniczanie dostępu według zasady najmniejszych uprawnień.

Uwaga: gangi wykorzystują przede wszystkim najsłabszy element – najczęściej jest nim człowiek lub niezałatany system, a nie „superzaawansowany exploit zeroday”.

Bibliografia i źródła

  • Serious and organised crime threat assessment (SOCTA) 2021. Europol (2021) – Analiza trendów w zorganizowanej przestępczości w Europie, w tym cyber
  • Internet Organised Crime Threat Assessment (IOCTA) 2023. Europol (2023) – Raport o zagrożeniach cyberprzestępczości i powiązaniach z grupami zorganizowanymi
  • Cybercrime and the criminal justice system: The role of organised crime groups in cybercrime. Council of Europe (2020) – Opracowanie o udziale zorganizowanych grup w cyberprzestępczości
  • The changing face of organised crime groups involved in cybercrime. European Union Agency for Cybersecurity (ENISA) (2017) – Analiza transformacji tradycyjnych gangów w kierunku cyberprzestępczości
  • Organised Crime in the Digital Age. Royal United Services Institute (RUSI) (2018) – Raport o wpływie technologii cyfrowych na modele działania grup przestępczych
  • Cyber-Organised Crime: A Growing Challenge for Law Enforcement. INTERPOL (2019) – Przegląd globalnych trendów cyberprzestępczości z udziałem zorganizowanych gangów

Kolejna porcja wiedzy:

Poprzedni artykułKuchnia liniowa, dwurzędowa czy z wyspą: przewodnik po układach mebli
Łukasz Malinowski
Łukasz Malinowski
Pasjonat majsterkowania i autor praktycznych poradników DIY. Od kilkunastu lat samodzielnie przerabia meble, buduje zabudowy z płyt i testuje akcesoria do kuchni – od prowadnic po systemy cargo. Na Kuchnia-zrob-to-sam.pl pokazuje krok po kroku, jak wykonać proste, ale solidne rozwiązania: dodatkowe półki, organizery, zabudowę lodówki czy własny stół roboczy. Każdy projekt dokumentuje zdjęciami, listą narzędzi i realnym czasem wykonania. Stawia na rzetelne instrukcje, które może odtworzyć osoba bez dużego doświadczenia, a jednocześnie nie idzie na skróty w kwestii trwałości.