Цель хакеров из DarkSide — внедрить свою программу в обширные корпоративные сети. Специалисты MalwareHunterTeam поделились с журналистами Bleeping Computer интересным наблюдением. Если жертва атаки отказалась платить, создатели шифровальщика публикуют краденую информацию на своем портале в дарквебе. Исходный код шифровальщика наводит на мысль о том, что DarkSide являются последователями GandCrab и REvil ransomware. Стиль работы тот же — закрыть базы данных, офисные приложения и почтовые клиенты, подготовив компьютеры жертв к шифрованию.
Кибервымогательство с помощью вирусов-троянов существует достаточно давно, но число вирусных программ-шифровальщиков продолжает стремительно расти. Ransomware, как называют в среде компьютерщиков программы-вымогатели, давно превратился в большой бизнес по краже интеллектуальной собственности с целью получения выкупа. По данным Cybersecurity Ventures ежегодный ущерб от киберпреступности к 2021 году составит уже более $6 трлн.
Основная цель кибератак — крупные компании из списка Fortune 500, но теперь хакеры использовали новую тактику, пообещав жертвовать какую-то долю своих криминальных доходов на благотворительность. И здесь, конечно, возникают вопросы. Кто стоит за их действиями и в чем опасность таких анонимных пожертвований? Информация об основных инициаторах закрыта, но косвенные предположения указывают на присутствие крупных игроков.
Мнения экспертов в области IT-безопасности сводятся к тому, что кибервымогатели — лишь видимая часть глобальной проблемы. Хакеров привлекает легкий способ заработка с помощью вирусных программ. Это подтверждает и постоянно растущее число кибергруппировок, промышляющих кражей баз данных и вымогательством с помощью вредоносных программ-блокировок и шифрования. Но кто они: «благородные разбойники», своего рода «Юрии Деточкины» с мышами в руках? Или же мы имеем дело с развернутой сетью по отмыванию нелегальных доходов крупного криминала? Или же вообще с обкаткой серьезных продуктов современных киберармий, стоящих на службе государств?
Впервые DarkSide заявили о себе на ниве благотворительности в марте, сделав перевод в $10 тыс. биткоинами двум фондам: Children International — некоммерческой организации по оказанию помощи живущим в нищете детям и The Water Project — организации, борющейся за доступ к чистой воде в странах Африки. Перевод был сделан через площадку The Giving Block, которая сохраняет анонимность пожертвований в криптовалюте. Видимо, на этот кошелек переводились деньги от компаний, плативших выкупы. Определить его местонахождение и даты перевода невозможно. Тем не менее хакеры выложили квитанции в своем блоге. Узнав о преступном происхождении пожертвований, один из фондов отказался от денег.
В комментариях участники DarkSide не скрывают своей незаконной деятельности, оправдываясь благородными мотивами. Деньги вымогают только у богатых и часть их передают нуждающимся.
«Возможно, они просто обиделись на мир. Сами суммы небольшие для взлома. Та же атака на Twitter принесла группировке более $100 тыс. Одно из предположений — ребята просто пытаются сделать себе имя. Если бы речь шла о миллионах, их бы уже нашли», — считает генеральный директор компании «Интернет-розыск» Игорь Бедеров.
Некоторые эксперты считают, что «благотворительность» таких группировок, как DarkSide, связана с отмыванием денег, полученных путем вымогательства. «Речь о счетах в криптовалютах, движения по которым отследить невозможно. Ими пользуются многие «теневики». То, что «благотворительные» переводы делаются с этих площадок, наводит на мысль о «теневых» заработках, часть которых показывают как «пожертвования» социальным структурам», — говорит руководитель благотворительного фонда социальных инициатив «Народное предприятие» Виктор Семенов.
В последнее время внимание хакерских группировок всё чаще привлекают жизненно важные объекты в России. При этом география атак наводит специалистов на определенные размышления.
«Кибератаки — оборотная сторона тотальной информатизации. Статистика их географического распределения в 2016–2017 годах представлена ведущими компаниями в области информационной безопасности. Мы наглядно видим главный источник вредоносной деятельности — это США и Евросоюз, причем большинство информационно-коммуникационных технологических гигантов действуют как раз под юрисдикцией США. По нашим данным, на их долю приходится до 49,6%, в том время как на долю России — от 1,7 до 4% в зависимости от вида атаки», — свидетельствует заместитель директора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николай Машуров.
Директор по методологии и стандартизации компании Positive Technologies Дмитрий Кузнецов считает, что собственно кража с сайтов с целью выкупа — не конечная цель киберпреступников. Куда опасней доступ хакеров к системам автоматического управления, например, железной дороги или АЭС.
Криминалисты международной компании Group-IB , специализирующейся на предотвращении кибератак и разработке продуктов для информационной безопасности, считают, что действия групп, подобных DarkSide, — не более чем ширма для серьезных преступлений. С помощью такого «благотворительного разбоя» выявляются наиболее уязвимые объекты. Основная группа риска — социальная сфера с ее обширными базами данных и, конечно, энергетический и транспортный сектор. Фактически речь идет об испытаниях нового кибероружия, которое позволит оставлять без света и воды целые города. Эксперты компании Group-IB отмечают, что собственные киберармии и кибероружие есть у многих стран. А относительная доступность технологии делают его создание по силам даже небольшой хакерской группе.
«По нашей статистике современный хакер — это человек 30–35 лет, имеющий техническое образование и хорошо подкованный в технических вопросах. Он часто использует «даркнет» — скрытую, полностью анонимную сеть интернет-соединений, чтобы покупать технику или личную информацию. Эта сеть существует параллельно обычному интернету. Характер таких преступлений скорее технический, нежели интеллектуальный», — отмечает официальный представитель Генпрокуратуры РФ Александр Куренной.
Виталий Кремез из компании Advanced Intel, изучавший механизм действия кибервымогателей, также считает их «благотворительность» не более чем прикрытием. После утечки исходных кодов большинство вредоносных инструментов годами «живут своей жизнью». Таким образом, хакеры создают легитимный инструмент для дальнейшего распространения и легализации своей преступной деятельности, делая вид, что раздают деньги.
В чем же причина успеха атак таких групп, как DarkSide? Чаще всего — в массовой безграмотности как обычных пользователей, так и корпоративного менеджмента. Растущее число вирусных атак с помощью вредоносного программного обеспечения до сих пор не служит достаточным стимулом для среднестатистической компании вкладывать средства в обеспечение безопасности собственных данных. Значительная доля клиентской базы RaaS, частью которой является DarkSide, принадлежит ламерам — хакерам-исполнителям, не способным программировать что-либо самостоятельно. Их можно сравнить с дилерами низшего звена в среде наркоторговли.
Организационно система во многом заимствована у преступных синдикатов, с той лишь разницей, что хакеры используют современные технические средства киберпространства. Вымогательство превращено в услугу и представляет некую модель сотрудничества операторов и разработчиков программ‑шантажистов с ламерами. Управляющая верхушка киберпреступности надежно скрыта от посторонних глаз, службы безопасности пока могут вылавливать в лучшем случае создателей программ, но не основных заказчиков.
Беспечное отношение к киберпреступникам дает последним возможность действовать открыто. С каждым годом вымогателей становится всё больше, их деятельность всё изощренней и опасней. Под ударом находятся все современные операционные системы: Windows, Mac OS X, Linux, Android, системы для смартфонов и планшетов. Процесс заражения вредоносной программой остается простым из-за невнимательности или беспечности пользователей. Трояны-вымогатели попадают в компьютер в момент открытия сомнительных почтовых вложений, переходов по непроверенным ссылкам или установки приложений из неофициальных источников. Вредоносные программы появились даже в рекламе, размещенной на проверенных сайтах. Киберпреступники научились психологической обработке пользователей, когда вымогатели убеждают скачать или открыть нечто нужное. В этот момент в компьютере открывается доступ для блокировщика или шифровальщика.
Осенью этого года был проведен опрос среди специалистов в области информационной безопасности, чтобы понять, как организовано управление уязвимостями в российских компаниях и с какими ограничениями средств анализа защищенности они сталкиваются. Результаты опроса были опубликованы на официальном сайте Positive Technologies, чтобы помочь специалистам по ИБ в построении эффективного процесса управления уязвимостями. Но пока современные хакеры действуют быстрее специалистов огромных и медлительных IT-отделов крупных компаний.
Яна Хорунжая