Исследование рынка, анализ рисков и, прежде всего, «забота о клиентах». Бизнес-вымогатели

Если кто-то еще думает, что кибервойна и хакерство — это мир эмоционально незрелых, но разбирающихся в компьютерах подростков, которым больше всего нравится злонамеренное, глупое дразнение пользователей компьютеров, то ему следует взглянуть на индустрию вымогательства денег за заблокированные данные. и программы сегодня (1). Сегодня это ничем не отличается от корпоративного мира.

Согласно одному отчету, средняя сумма выплат вымогателей хакерам в 2020 году составила 170 тысяч. долларов. Пожертвованные суммы резко увеличились в 2020 году, увеличившись более чем на 300%. по сравнению с 2019 годом. Эксперты из кибербезопасность считают, что эта цифра значительно занижена, поскольку многие компании платят выкуп, не сообщая о нарушении властям.

До появления криптовалют платежи было труднее отмыть. Сегодня это предпочтительнее, хотя некоторые начали склоняться к monero, потому что он предлагает более высокую степень анонимности. По мере роста суммы выкупа разработчики программа-вымогатель они нанимают новых программистов и создают партнерские программы.

Компания Kaseya со штаб-квартирой во Флориде, чья программное обеспечение было использовано в разрушительной атаке программы-вымогателя в июле, получив через несколько недель универсальный ключ, позволяющий расшифровать данные более тысячи компаний и общественных организаций, парализованных атакой. Пресс-секретарь Касеи Дана Лидхольм однако она не сказала, как был получен ключ и был ли выплачен выкуп. Все, что мы знаем, это то, что оно исходит от «доверенной третьей стороны» и что Касея распространяет его среди всех жертв. Начались спекуляции.

Рассматривались варианты: заплатила Касея, заплатило правительство, ряд пострадавших собрал средства, Кремль изъял у преступников ключ и передал его через посредников, и в итоге возможность того, что главный злоумышленник не получил оплату от банды, чьи использовалась программа-вымогатель. Кроме того, всех заинтриговал тот факт, что криминальный синдикат REvil(2), ответственный за эту атаку, связанную с Россией, таинственным образом исчез из Интернета в середине июля.

Нападение на компанию Kaseya, одна из популярных в последнее время «атак на цепочку поставок», считается самым серьезным инцидентом с программами-вымогателями на сегодняшний день. Это чем-то напоминает атаку SolarWinds, описанную в другом месте этого выпуска, но строго не относится к категории программ-вымогателей. если универсальный ключ в атаке на Касею была передана без оплаты, это будет не первый раз, когда преступники-вымогатели делают что-то подобное. В мае банда Конти препятствовала работе Национальной службы здравоохранения Ирландии, а когда российское посольство в Дублине предложило «помочь следствию», ключ неожиданно был найден.

Программы-вымогатели также недавно появились в наших польских дверях эффектным образом. В начале 2021 года CD Projekt опубликовала заявление, в котором написала, что неизвестная программа-вымогатель атаковала ее информационные системы. Компания, известная по серии игр The Witcher и проекту Cyberpunk 2077, сообщила, что, по ее сведениям, атака не затронула личные данные пользователей.

, загрузить значительный объем данных, зашифровать всю информацию, оставив записку о выкупе и угрожая опубликовать данные. Преступники утверждали, что украли информацию с сервера, в том числе весь исходный код нескольких игр. Cyberpunk 2077, Ведьмак 3, Gwent, и неопубликованную версию игры Witcher 3. Они также заявили, что у них есть документы, принадлежащие бухгалтерскому, административному, юридическому отделам, отделам кадров и отделам по связям с инвесторами. Они пригрозили разослать эту информацию игровым журналистам, чтобы разрушить репутацию производителя. CD Projekt заявила, что не планирует поддаваться шантажу или даже вести переговоры с операторами программ-вымогателей, и публично опубликовала записку с требованием выкупа. Известно, что у него были резервные копии, поэтому восстановление ваших данных не должно быть проблемой.

Страховые компании перестали рекомендовать платить выкуп

Самый известный случай с программами-вымогателями до пандемии был атака на систему общественного здравоохранения Великобритании NHSкто после Заражение вирусом WannaCry (3) боролись с несколько дней хаоса в больницах и поликлиниках, вынуждая врачей отменить тысячи посещений и консультаций с пациентами.

Эксперты по безопасности несколько лет назад писали в отчетах, что киберпреступники, использующие программы-вымогатели они особенно заботятся о комфорте жертвы. Это результат эксперимента, описанного в отчете F-Secure, в котором представлен опыт жертв пяти вариантов атак программ-вымогателей. В отчете отмечается, что злоумышленники стремятся к хорошему обслуживанию клиентов, обеспечивают надлежащие каналы обслуживания и надежно расшифровывают файлы после оплаты. Отмечалось, что преступные группы часто действуют аналогично легально действующим компаниям — например, у них есть собственные веб-сайты, полезные разделы часто задаваемых вопросов, «пробные периоды» для расшифровки файлов и даже каналы обслуживания клиентов с консультантами, с которыми соглашение может быть достигнуто. Как сообщает F-Secure, банды, использующие программы-вымогатели, обычно готовы договариваться о сумме выкупа. В трех из четырех вариантов допустили переговоры, в результате чего выкуп уменьшился в среднем на 29%.

В настоящее время бизнес-методы групп вымогателей они становятся еще более изощренными. Они даже используют такие методы, как исследование рынка и экономическая разведка. И для этого они используют базы данных страховых компаний.

Отраслевые СМИ сообщили, что преступники-вымогатели нацелились как минимум на три североамериканские страховые компании, которые предлагать политики, помогающие предприятиям пережить сетевой паралич и атаки с блокировкой данных. Киберпреступники, взламывающие корпоративные сети, обычно пытаются выяснить, сколько киберстрахования есть у их жертв и каков страховой полис. Знание этого может дать им преимущество в переговорах о выкупе и указать, какие типы атак следует запускать. Интервью с анонимным членом банды REvil подтвердило в СМИ, что они активно выискивают у страховщиков данные о своих клиентах.

Еще несколько лет назад страховщиков обвиняли в поощрении преступной практики, призывая жертв платить. Страховщики защищались, показывая, сколько компаний они спасли от банкротства. Сейчас страховой сектор он сам становится жертвой преступников не только потому, что он является целью взлома базы данных, но и потому, что программы-вымогатели продолжают развиваться. В прошлом году более 400 процентов. увеличение количества атак данного типа и увеличение суммы вымогательств из-за растущей алчности преступников. Выплаты по киберстрахованию в настоящее время составляют 70%. размер уплачиваемых премий, что делает киберстрахование практически невыгодным для страховщиков.

Поэтому, как он сказал в СМИ Фабиан Восар, технический директор Emsisoft, компании, специализирующейся на кибербезопасности, страховщики больше не руководствуются рекомендацией платить преступникам. Более того, в отрасли есть давление, чтобы прекратить выплату выкупа. В мае АХА он выбрал это для всех новых политик во Франции.

Более того, еще до мая Атаки программ-вымогателей нанесли ущерб великому американскому колониальному трубопроводу и крупного переработчика мяса в США JBS, страховщики уже начали перекладывать более высокие расходы на страхование на клиентов. В январе в США и Канаде премии за счет страховка от киберугроз подскочил на 29 процентов. по сравнению с предыдущим месяцем.

В феврале месячный скачок составил 32%, а в марте — 39%. Чтобы остановить потери от программ-вымогателей, новые соглашения о политике включают более строгие правила или уменьшенные пределы покрытия. Теперь в политике может быть указано, что возмещение за вымогательство не может превышать одной трети от общего покрытия, которое обычно также покрывает возмещение и потерю дохода и может включать выплаты PR-фирмам для смягчения ущерба репутации. Страховщик также может уменьшить объем страхования наполовину или ввести франшизу.

О большинстве атак программ-вымогателей не сообщается, и по ним нет центрального информационного центра, хотя правительства начинают настаивать на обязательном сообщении о таких инцидентах. Ян Лемницер, преподаватель бизнес-школы в Копенгагене, считает, что киберстрахование должно быть обязательным для больших и малых предприятий, точно так же, как любой, кто водит машину, должен иметь автомобильную страховку. Исследование Королевского института объединенных служб рекомендует их всем государственным поставщикам. Некоторые даже предполагают, что штрафы накладываются на оплату программ-вымогателей в качестве сдерживающего фактора.

Записка о выкупе как франчайзинговый бизнес

Год назад одна из групп, занимающихся программами-вымогателями как услугой (RaaS), разработала новая схема распределения доходов в сотрудничестве с хакерами (4). Каждый успешный хакер жертвует процент вознаграждения разработчикам вредоносное ПО. Такой макет позволяет разработчикам программного обеспечения сосредоточиться на разработке вредоносных программ, оставляя задачу поиска новых целей другим. Это также позволяет разработчикам спрятаться за завесой. Авторы вредоносных программ стремятся получить прибыль с минимальным риском, и партнерская программа RaaS поможет им.

Эксперты по кибербезопасности коллективно подтверждают, что «вымогатели-как-услуга»В настоящее время является основной бизнес-моделью, используемой преступными группировками, такими как DarkSideстоит, предположительно стоит за упомянутой атакой Колониальный Трубопровод, что лишило 50 миллионов американцев доступа к топливу (5). Они продают или сдают в аренду свое хакерское программное обеспечение или услуги тем, кто хочет запускать кибератаки для получения выкупа от жертв.

Команды, подобные DarkSide, уже организованы в структуры и операции, которые мало чем отличаются от бизнес-корпораций, используя отделы маркетинга для рекламы своих продуктов и услуг, отделы «обслуживания клиентов» и переговорщиков, которые общаются с жертвами от имени своих клиентов для обсуждения платежей выкупа. Эта конфигурация облегчает преступную деятельность для клиентов, то есть злоумышленников, и в то же время создает источник дохода для владельцев вредоносных программ.

DarkSide впервые был обнаружен в августе 2020 года и первоначально самостоятельно проводил атаки программ-вымогателей. Согласно исследованию Intel471, которое отслеживало 25 различных групп RaaS, в течение 2020 года эта группа и четырнадцать других подобных преступных группировок несут ответственность за более чем 1200 атак программ-вымогателей. Три месяца спустя DarkSide начала рекламировать новую программу RaaS на русскоязычных интернет-форумах. С тех пор число жертв, упомянутых в блоге DarkSide, быстро росло. «Это свидетельствует о возрастающем использовании программа-вымогатель DarkSide несколькими аффилированными лицами», — заключают исследователи FireEye в своем отчете.

«Лицензиару» в этой конкретной модели предстоит получить 25 процентов. участие в выкупных платежах ниже 500 10 долларов и 5 проц. о выплате выкупа свыше XNUMX миллионов долларов. Следователи отследили пятерых разных русскоязычных «злоумышленников» как новых или бывших клиентов DarkSide. Некоторые из этих организаций могли также сотрудничать с другими службами RaaS, такими как Babuk и организация под названием Sodinokibi (позже известная как REvil). Тереза ​​Пэйтон, генеральный директор Foraliance, компании по кибербезопасности и бывший главный ИТ-директор США в администрации Буша, называет DarkSide «франшизой».

У делового осьминога новые ноги

Об этом сообщает американский телеканал CBS News. владелец Colonial Pipeline в итоге заплатил хакерам многомиллионный выкуп. Вскоре после этого, согласно заявлению, полученному Intel471, DarkSide объявила о немедленном прекращении продолжения программа RaaS. Группа также сообщила своим партнерам, что ее блог, веб-сайт для сбора выкупа и «сеть доставки взлома» были взломаны неустановленным правоохранительным органом. Также сообщается, что он лишен средств на криптовалютных кошельках.

Эксперты считают вывод банды-киберпреступные корпорации является следствием чрезмерной публичности их деятельности. «Слишком много общественного внимания к этим группам — нехорошо», — сказал Том Хоффман, вице-президент по разведке Flashpoint, в интервью CBS News. По его словам, не будет сюрпризом, если они закроются только для того, чтобы организовать еще одну преступную группировку. «С их точки зрения легко вернуться позже и воссоздать свои операции», — сказал он.

Участвующие в этом бизнесе встречаются в специализированные даркнет-форумыгде вы можете найти регулярно обновляемые объявления, предлагающие услуги и сотрудничество. Известные группы, такие как REvil, которые в последние несколько кварталов все больше ориентируются на крупные компании и организации, регулярно публикуют свои предложения и новости через партнерские программы.

Некоторые операторы программ-вымогателей продают образцы вредоносных программ. У бизнес-вымогателей есть все вкусы обычного бизнеса. Бывает, например, что банды делают пожертвования на благотворительность и публикуют информацию о своих пожертвованиях на сайте DarkSide Leaks. Часто это еще одна афера, чтобы заставить жертву заплатить выкуп, поскольку многие благотворительные организации не могут принимать такие деньги.

Утечки DarkSide содержит заявление об этических принципах, аналогичное тому, что настоящие корпорации размещают на своих веб-сайтах. Здесь киберпреступники делают свои заявления, например, заявляя, что они никогда не будут атаковать медицинские компании, похоронные бюро, образовательные учреждения, некоммерческие или правительственные организации. Считается, что это еще одна мошенническая уловка с целью повлиять на жертв.

У этого темного бизнеса больше ответвлений. По мнению аналитиков, представители таких корпораций, как DarkSide ищем партнеров среди компаний, оказывающих услуги по легальной расшифровке данных. Они предлагают таким специалистам техническую поддержку и скидки, связанные с объемом работы, которую они выполняют. Однако на самом деле мошенники не ищут жертв, которые не могут расшифровать ваши данные. Они ищут много денег. Государственным компаниям, например, могут запретить вести переговоры с мошенниками, но они могут сотрудничать с компаниями, предоставляющими услуги по расшифровке. Последние выступают в данном случае своего рода посредниками, делая вид, что восстанавливают данные, а на самом деле просто платят мошенникам, а остальное забирают себе в карман. Может быть, это и не обязательно незаконно по закону, но сильно попахивает преступным сговором.