Атаки программ-вымогателей: как сотрудничают сети киберпреступников

Анатолий Шуклецов - 19.06.21 (обновлено 19.06.21)

В своем коммюнике Carbis Bay G7 объявила о намерении работать вместе для борьбы с группами интернет-вымогателей. Несколько дней спустя президент США Джо Байден встретился с президентом России Владимиром Путиным, на которой обсуждался процесс экстрадиции для привлечения к ответственности российских киберпреступников в США. По сообщениям, Путин в принципе согласился, но настоял на том, чтобы экстрадиция была взаимной. Время покажет, удастся ли заключить договор об экстрадиции, но если да, то кого именно и зачем экстрадировать?

Фото: https://golden-island.net/

Проблема для правоохранительных органов заключается в том, что программы-вымогатели – разновидность вредоносного ПО, используемого для кражи данных организаций и удержания их с целью получения выкупа – очень скользкая «рыба». Это не только смешанное преступление, включающее различные правонарушения в разных сферах права, но и преступление, которое входит в сферу компетенции различных полицейских ведомств и, во многих случаях, стран. И нет ни одного ключевого преступника. Атаки программ-вымогателей затрагивают распределенную сеть различных киберпреступников, часто неизвестных друг другу, чтобы снизить риск ареста.

Поэтому важно подробно изучить эти атаки, чтобы понять, как США, Россия и G7 могут предпринять меры по борьбе с растущим числом атак с использованием программ-вымогателей, которые мы наблюдали во время пандемии, когда в мае 2021 года во всем мире произошло не менее 128 публично раскрытых инцидентов. И когда мы соединяем точки, мы обнаруживаем, что это профессиональная индустрия, далекая от правил организованной преступности, которая черпает вдохновение прямо со страниц руководства по бизнес-исследованиям.

Индустрия программ-вымогателей несет ответственность за огромные потрясения в современном мире. Эти атаки не только имеют разрушительный экономический эффект, причиняющий ущерб в миллиарды долларов, но и украденные данные, полученные злоумышленниками, могут продолжать каскадно спускаться по цепочке преступлений и подпитывать другие киберпреступления. Атаки программ-вымогателей также меняются. Бизнес-модель преступной индустрии сместилась в сторону предоставления программ-вымогателей в качестве услуги. Это означает, что операторы предоставляют вредоносное ПО, управляют системами вымогательства и платежей, и управляют репутацией «бренда». Но чтобы снизить риск ареста, они нанимают аффилированных лиц на щедрые комиссионные для использования их программного обеспечения для проведения атак.

Это привело к широкому распространению криминального труда, когда люди, владеющие вредоносным ПО, не обязательно совпадают с теми, кто планирует или выполняет атаки программ-вымогателей. Еще больше усложняет ситуацию то, что обоим помогают в совершении преступлений услуги, предлагаемые более широкой экосистемой киберпреступности.

Как работают атаки программ-вымогателей?

Атака программ-вымогателей состоит из нескольких этапов, которые эксперты выделили после анализа более 4000 атак с 2012 по 2021 год. Во-первых, это разведка, когда преступники выявляют потенциальных жертв и точки доступа к их сетям. После этого хакер получает «начальный доступ», используя учетные данные для входа, купленные в даркнете или полученные обманным путем.

Фото: https://inbusiness.kz/

После получения начального доступа злоумышленники стремятся повысить свои права доступа, позволяя им искать ключевые организационные данные, которые причинят жертве наибольшую боль, когда ее украдут и потребуют выкуп. Вот почему медицинские записи больниц и полицейские записи часто становятся объектами атак программ-вымогателей. Эти ключевые данные затем извлекаются и сохраняются злоумышленниками – и все это до того, как какая-либо программа-вымогатель будет установлена и активирована.

Затем следует первый признак того, что организация-жертва подверглась атаке: развертывается программа-вымогатель, которая блокирует доступ организаций к их ключевым данным. Этот «пресс-релиз» может содержать угрозы поделиться украденными конфиденциальными данными с целью запугать жертву и заставить ее заплатить выкуп. При успешных атаках программ-вымогателей выкуп выплачивается в криптовалюте, которую сложно отследить, а также конвертируется и отмывается в бумажную валюту. Киберпреступники часто инвестируют вырученные средства в расширение своих возможностей – и на оплату филиалов – чтобы их не поймали.

Экосистема киберпреступности

Хотя вполне возможно, что преступник с соответствующей квалификацией мог бы выполнять каждую из функций, это маловероятно. Чтобы снизить риск быть пойманным, группы преступников, как правило, развивают и овладевают специальными навыками для различных стадий нападения. Эти группы выигрывают от этой взаимозависимости, поскольку она компенсирует уголовную ответственность на каждом этапе.

А в преступном мире киберпреступности есть множество специализаций. Есть спамеры, нанимающие программное обеспечение для спама как услугу, которое фишеры – мошенники – используют для кражи учетных данных людей, и брокеры данных, которые торгуют этими украденными данными в темной сети. Они могут быть приобретены «брокерами первоначального доступа», которые специализируются на получении начального доступа к компьютерным системам, прежде чем продавать эти данные доступа потенциальным злоумышленникам. Эти злоумышленники часто взаимодействуют с брокерами, предлагающими преступное ПО как услугу, которые арендуют программное обеспечение как услугу-вымогатель, а также другие вредоносные программы.

Чтобы координировать эти группы, участники дарк-маркетинга создают онлайн-рынки, на которых преступники могут открыто продавать или обменивать услуги, обычно через сеть Tor в темной сети. Монетизаторы предназначены для отмывания криптовалюты и превращения ее в фиатную валюту, в то время как переговорщики, представляющие как жертву, так и преступника, нанимаются для урегулирования суммы выкупа.

Эта экосистема постоянно развивается. Например, в последнее время появился «консультант по программам-вымогателям», который взимает плату за консультирование злоумышленников на ключевых этапах атаки.

Фото: https://overclockers.ru/

Арест правонарушителей

Правительства и правоохранительные органы наращивают свои усилия по борьбе с злоумышленниками после года, который был омрачен их непрекращающимися атаками. Во время встречи G7 в Корнуолле в июне 2021 года украинские и южнокорейские полицейские силы координировали арест элементов печально известной банды вымогателей CL0P. На той же неделе гражданин России Олег Кошкин был осужден судом США за использование службы шифрования вредоносных программ, которую преступные группировки используют для выполнения кибератак, не будучи обнаруженными антивирусными решениями.

Хотя эти разработки являются многообещающими, атаки программ-вымогателей представляют собой сложное преступление с участием распределенной сети злоумышленников. По мере того, как злоумышленники оттачивали свои методы, правоохранительные органы и эксперты по кибербезопасности старались не отставать. Но относительная негибкость полицейских механизмов и отсутствие ключевого преступника, подлежащего аресту, всегда могут держать их на шаг позади киберпреступников – даже если между США и Россией будет заключен договор об экстрадиции.

Добавить комментарий

{"commentics_url":"\/\/express-novosti.ru\/comments\/","page_id":3061312,"enabled_country":false,"enabled_state":false,"state_id":0,"enabled_upload":false,"maximum_upload_amount":3,"maximum_upload_size":5,"maximum_upload_total":5,"securimage":true,"securimage_url":"\/\/express-novosti.ru\/comments\/3rdparty\/securimage\/securimage_show.php?namespace=cmtx_3061312","lang_error_file_num":"\u041c\u0430\u043a\u0441\u0438\u043c\u0443\u043c %d \u0444\u0430\u0439\u043b\u043e\u0432 \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d\u043e.","lang_error_file_size":"\u041f\u043e\u0436\u0430\u043b\u0443\u0439\u0441\u0442\u0430, \u0437\u0430\u0433\u0440\u0443\u0437\u0438\u0442\u0435 \u0444\u0430\u0439\u043b \u0440\u0430\u0437\u043c\u0435\u0440\u043e\u043c \u043d\u0435 \u0431\u043e\u043b\u0435\u0435 %d MB.","lang_error_file_total":"\u041e\u0431\u0449\u0438\u0439 \u0440\u0430\u0437\u043c\u0435\u0440 \u0432\u0441\u0435\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 \u0434\u043e\u043b\u0436\u0435\u043d \u0431\u044b\u0442\u044c \u043d\u0435 \u0431\u043e\u043b\u0435\u0435 %d MB.","lang_error_file_type":"\u041c\u043e\u0436\u043d\u043e \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0442\u044c \u0442\u043e\u043b\u044c\u043a\u043e \u0438\u0437\u043e\u0431\u0440\u0430\u0436\u0435\u043d\u0438\u044f.","lang_text_loading":"\u0417\u0430\u0433\u0440\u0443\u0437\u043a\u0430 ..","lang_placeholder_state":"\u0420\u0435\u0433\u0438\u043e\u043d","lang_text_country_first":"\u0421\u043d\u0430\u0447\u0430\u043b\u0430 \u0432\u044b\u0431\u0435\u0440\u0438\u0442\u0435 \u0441\u0442\u0440\u0430\u043d\u0443","lang_button_submit":"\u0414\u043e\u0431\u0430\u0432\u0438\u0442\u044c","lang_button_preview":"\u041f\u0440\u0435\u0434\u0432\u0430\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440","lang_button_remove":"\u0423\u0434\u0430\u043b\u0438\u0442\u044c","lang_button_processing":"\u041f\u043e\u0434\u043e\u0436\u0434\u0438\u0442\u0435..."}