- Joined
- Jan 19, 2011
- Messages
- 7,650
- Contests
- 0
- Reaction score
- 110
Несмотря на вроде бы прошедший пик громких историй, связанный с криптолокерами (ransomware), сам этот сектор «теневой экономики» продолжает генерировать различные неприятные сюжеты.
Очевидно, что шифровальщики становятся неизбежной, «фоновой» реальностью работы многих компаний как в России, так и в мире — а удачные атаки и многомиллионные суммы выкупа только подогревают этот сектор.
Интереснее другое — что дальше? С учетом того, что различные мировые игроки пытаются продавить идею о том, что шифрование это уже не просто киберкриминал, а настоящий терроризм, возникает закономерный вопрос — должны ли с ними бороться жертвы атак, то есть коммерческие компании, или же силовые структуры?
Или же какую-то роль на себя возьмет само сообщество хакеров?
Пока наблюдающие за проблемой люди могут отметить лишь общую растерянность всех, кто сталкивается с этим явлением. Ни внятных стратегий, ни единых подходов, ни налаженного взаимодействия ИБ-коммьюнити.
И все это играет на руку создателям локеров, поскольку в этом хаосе единственный выход для тех, кто стал их целью — это платить.
Подход номер один — «открещивание»
В конце мая русскоязычный хакерский форум XSS Link hidden, please Sign in
Администратор форума, принявший столь грозное решение, аргументировал это пространным комментарием, в котором объявил, что вокруг «локеров» (так он определяет шифровальщики) набралась «критическая масса бреда, ерунды, хайпа, шума», что «мало локеров технические интересны», мол, по большей части это — «посредственные технические инструменты», и что, в конечном, счёте, форум XSS существует ради знаний, а целью «локеров» является только заработок. Цели не совпадают.
И вот тут прямо жалость разбирает: бедные хакеры! Они-то, оказывается, к знаниям тянутся, а какое-то, понимаешь, рансомварево им всю репутацию портит да с пути истинного сбивает. Так недолго поверить, что на дворе до сих пор конец 1990-х, и никаких вам банковских троянцев, APT-группировок и уж тем более — шифровальщиков нет.
Увы и ах, на дворе две тысячи двадцать первый: «киберкриминал» — это всегда была история про деньги и в первую очередь про деньги. Киберпреступники — это коммерсанты и менеджеры, использующие инструменты для вполне конкретных целей, а не красноглазые юнцы в растянутых свитерах, которые что-то мутят по ночам ради светлых идеалов.
В конце своего обращения, многошумного и широковещательного, администратор XSS всё-таки выдаёт основную подоплёку запрета: «Слово рансом уравняли с целым рядом неприятных явлений — геополитикой, вымогательством, государственными взломами. Это слово стало опасным и токсичным».
А раньше не было? С чего же вдруг, на пятый год тотального засилья шифровальщиков-локеров вдруг такое резкое к ним охлаждение?
Подход номер два — платить и угрожать уголовным преследованием
Реакция на инцидент со стороны Colonial Pipeline свелась к выплате вымогателям 75 биткоинов — на тот момент это было более 4 млн долларов. Делать подобное категорически не рекомендуется. Но, по-видимому, взвесив за и против, в Colonial решили, что выплата выкупа позволит минимизировать ущерб, и без того огромный.
Необычно бурной, однако, оказалась реакция со стороны властей США. Крупные кибератаки — не редкость, а вот комментарии на уровне Белого Дома случаются нечасто. Президент США Джо Байден лично дал понять, что правоохранительные органы получили указания о том, как следует дать сдачи.
И именно это, похоже, и произошло. Во-первых, представители Darkside сразу после атаки поспешили заявить, что, они всего лишь зарабатывают деньги и совсем не имели целью «создавать проблемы обществу». Дескать, извините, мол, что так получилось. Правда, за извинениями не последовало ни возвращение выкупа, ни передача ключа для дешифровки.
Спустя ещё через несколько дней Darkside объявила, что её Link hidden, please Sign in
Заявление о захвате инфраструктуры вскоре отчасти подтвердилось: правоохранительные органы США заявили о получении доступа к инфраструктуре группировки и возвращении большей части выплаченных в качестве выкупа биткоинов. Правда, к этому моменту курс биткоина резко упал, так что в пересчёте на обычные деньги вернуть удалось лишь немногим более двух миллионов долларов.
Впрочем, эта сумма блекнет по сравнению с тем, что «коллеги по цеху» — группировка REvil — получила от одной из крупнейших своих жертв: производитель продуктов питания JBS выплатила вымогателям 11 млн долларов (требовали 22,5 млн, но согласились принять вдвое меньшую сумму). Ранее, в марте этого года REvil атаковали фирму Acer и потребовали с неё 50 млн долларов.
После атаки на Colonial Pipeline представители этой группировки заявили, что больше не будут атаковать «чувствительные» секторы: организации, связанные со здравоохранением, образовательные учреждения и правительственные сети в любых государствах.
Однако почти сразу стало известно о об успешной атаке на фирму Sol Oriens, специализирующуюся на ядерных технологиях и сотрудничающую с министерствами обороны и энергетики США. Для пущего нажима вымогатели пообещали слить украденные данные — в основном, зарплатные ведомости и списки работников, — «военному ведомству по своему выбору».
Подход номер три — лейбл «терроризма»
В начале июня в прессу просочилось известие о том, что власти США собираются расследовать атаки со стороны шифровальных группировок по одной модели с расследованием террористических актов. В Вашингтоне создаётся специализированная рабочая группа по борьбе с шифровальщиками, и Управление Генерального прокурора США поручило координировать с ней все усилия следователей. Речь идёт об обмене информации и координированию действий между множеством различных ведомств.
Также стало известно о подписании президентом Байденом исполнительного указа о совершенствовании ********************ональной кибербезопасности, где также содержится указание наладить обмен информацией между различными правоохранительными органами при расследовании киберинцидентов.
Использование одних и тех же принципов при расследовании терактов и шифровальных атак не означает знака тождества между ними. Но означает, что и то, и другое рассматривается как угроза ********************ональной безопасности.
Можно ли атаки на Sol Oriens и Colonial Pipeline приравнять к терактам? — Это вопрос дефиниций. В законодательстве США террористический акт — Link hidden, please Sign in
Российское законодательство даёт другое определение теракта: Link hidden, please Sign in
В обоих случаях речь идёт о политической составляющей. Которой в атаках Darkside и REvil формально не усматривается. Но помимо формальной стороны есть ещё и фактические последствия. Те самые «проблемы для общества», которые, дескать, не хотели создавать вымогатели.
Эффект бабочки
В июне этого года медцентр University Medical Center в Неваде был атакован Link hidden, please Sign in
В июле медцентр Cass Regional Medical Center в штате Миссури оказался жертвой неизвестного шифровальщика, накрывшего внутренние информационные системы, включая базу данных о пациентах.
В августе от шифровальщиков пострадал медицинский комплекс Link hidden, please Sign in
И это лишь некоторые примеры атак на учреждения, от которых напрямую могут зависеть жизни людей. Даже если они мотивированы исключительно денежными соображениями, нет ничего удивительного в том, что расследовать атаки шифровальщиков будут по контртеррористической модели.
Слишком много шума
Возвращаясь к форуму XSS, можно сказать, что это не единственная площадка, которая ввела санкции против шифровальщиков. На ней лишь были приведены наиболее пространные обоснования. Запрет ввели также форумы Exploit и RaidForums, два других крупных хакерских «гнезда».
«Мы рады видеть пентестеров, специалистов, кодеров. Но не локеры, они привлекают слишком много внимания», — было сказано в объявлении на Exploit. Все партнёрские программы шифровальщиков с форума были зачищены.
Обоснования на RaidForums выглядели ещё короче и малоосмысленнее, мол, что упало, то пропало, ищите в другом месте.
Эта реакция вроде бы указывает на то, что администраторы хакерских форумов были напуганы. Но это не точно.
Иногда они возвращаются
Уже в конце июля объявилась новая шифрогруппировка Black Matter, чьи шифровальщики подозрительно напоминали по своим функциям инструменты для взлома, использовавшиеся DarkSide и REvil. Группировка сразу объявила о поисках новых “партнёров”, которые обеспечили бы им доступ в корпоративные сети. Правда, в объявлении оговаривалось, что сети медицинских учреждений и госорганов Black Matter не интересуют. Скорее всего, речь идёт именно Link hidden, please Sign in
В начале августа объявилась новая (или не очень) группировка LockBit 2.0, которая размещала объявления о поиске партнёров Link hidden, please Sign in
Ещё одна новая группировка — Link hidden, please Sign in
Ну, а самый, пожалуй, комичный казус — это попытка создать альтернативный XSS и другим хакерским форумам ресурс под названием RAMP, который запустила шифрогруппировка Babuk специально для коллег по цеху. Почти сразу же этот форум сам стал объектом вымогательства, да ещё с применением Link hidden, please Sign in
В результате, картина этой несогласованности и неоднородности возможного ответа на угрозу, достаточно печальная. Даже если бы крупнейшие шифрогруппировки разом исчезли — по какой бы то ни было причине — на их место моментально придут другие.
Единственное, возможно — но отнюдь не факт, — что теперь, после казуса с Colonial, самые успешные кибервымогатели будут обходить за версту “чувствительные” сектора экономики, атаки на которые теперь могут рассматриваться как разновидность терроризма. Не факт, впрочем, и то, что угрозы рассматривать кибервымогателей как террористов не останутся просто угрозами.
Однако в любом случае очевидно, что пока выгода перевешивает риск, криптолокеры так и останутся привлекательным способом заработать. И ничего личного.
Source: habr.com/ru/company/ppr/blog/575936