И зашифровать, и украсть: новый подход к вымогательству
Разработчики ПО для вымогательства стали применять новую стратегию увеличения дохода. Разбираем, что происходит и как с этим справиться.
935 открытий970 показов
Михаил Кондрашин
технический директор Trend Micro в РФ и СНГ
Для современных предприятий утечка данных, которая затрагивает интеллектуальную собственность, служебную информацию, персональные данные сотрудников и клиентов, влечёт за собой значительные убытки. Не говоря уже о штрафах регулирующих органов, судебных исках и репутационном ущербе. Может показаться, что атаки шантажистов в первую очередь направлены на крупные промышленные и финансовые гиганты. Но это не так — разработчики ПО также оказываются жертвами вымогательства.
В феврале 2021 года компания CD Projekt RED, польский разработчик компьютерных игр, стал жертвой кибератаки с использованием вымогательского ПО. Преступники проникли в инфраструктуру компании, зашифровали и похитили данные.
Злоумышленники заявили, что им удалось похитить конфиденциальные документы. А также исходный код игр Cyberpunk 2077, Witcher 3 и Gwent. И если компания откажется платить выкуп, они опубликуют похищенные данные в открытом доступе.
Записка с требованием выкупа. Источник: Twitter-аккаунт CD Projekt RED
После того, как CD Projekt RED отказалась платить выкуп и восстановила зашифрованные данные из резервных копий, хакеры выставили на продажу полученную информацию на файлообменнике за семь миллионов долларов США. Аукцион закрыли досрочно после получения более выгодного предложения.
В июне 2021 года телеграм-канал «Утечки информации» сообщил, что на одном из подпольных форумов в даркнете опубликованы исходные коды компьютерной игры Cyberpunk 2077. Общий размер архива составил 96 ГБ. Внутри — 787 тысяч файлов объёмом 161 ГБ. Исходный код относился к версии игры 1.0.
Также стало известно, что на onion-сайте Payload Bin в сети Tor, принадлежащем операторам вымогательского ПО Babuk, размещены все похищенные у CD Projekt RED исходные коды. Включая Cyberpunk 2077. Размер архива составил более 360 ГБ.
Разделение труда вымогателей
Современные кибервымогатели отказались от автоматизированных массовых атак, которые работают по принципу «запусти и молись». Вместо этого операторы ПО сначала ищут крупную цель, а затем изучают и компрометируют каждый участок сети жертвы. И, наконец, запускают полезную нагрузку для шифрования и кражи всех важных данных.
Целевой характер атак не единственная новинка, которую можно встретить. Ещё одно важное новшество — разделение труда между преступными группировками. Конкуренция между группировками привела к тому, что появились команды, которые специализируются на исполнении конкретных стадий кибератаки. Например, хакеры, которые проникают в сеть, не обязательно те, кто развёртывает полезную нагрузку и запускает процесс шифрования. Переговоры о выплате выкупа и распределение полученных средств может вести третья команда.
Такая специализация стала побочным результатом эволюции киберпреступного бизнеса. И позволила операторам вымогателей приобретать услуги команд вместо поиска собственных кадров. В результате проведение самых сложных киберкампаний стало значительно проще.
Однако бурный рост числа кибервымогательских кампаний обусловлен не только организационными, но и технологическими факторами.
Четыре фактора успешного вымогательства
Киберпреступники с готовностью внедряют технологии, позволяющие улучшить финансовый результат. В числе ключевых факторов, которые способствовали переходу к целевой схеме монетизации преступности следующие:
- увеличение вычислительной мощности, которое позволяет киберпреступникам глубоко автоматизировать сбор и обработку информации о жертвах;
- наличие государственных и частных баз данных и средств автоматизации, которые помогают проводить точную категоризацию жертв на основе их местонахождения, отрасли, названия компании, размера и дохода;
- анонимные трансграничные денежные переводы большого объёма с использованием криптовалют и криптовалютных микшеров;
- коммуникационные платформы, обеспечивающие безопасное, интерактивное и анонимное взаимодействие позволили упростить и расширить сотрудничество между различными киберпреступными группами.
В результате значительно усугубились последствия вымогательства и риски, связанные с каждой атакой. Вероятность получения профита стала выше — поскольку профессиональные команды высокопрофессиональных хакеров совместно проводят атаку. Это усложнило стратегии защиты и уменьшило возможности смягчения последствий для организаций-жертв.
Примерная схема вымогательства
Шаг 1: проникновение в сеть с использованием слабых учётных данных в открытых службах RDP или других внешних HTTP-службах. Другой популярный вариант — критические уязвимости в сервисах, например уязвимости нулевого дня в Citrix.
Шаг 2: оказавшись в сети жертвы, хакеры в ручном режиме изучают доступные ресурсы и осуществляют боковое перемещение, пытаясь найти в сети жертвы важные системы, которые, скорее всего, содержат конфиденциальные данные для кражи и шифрования. Для перемещения по сети используют обычные инструменты администратора, чтобы избежать обнаружения автоматизированными средствами защиты. Такая техника называется «подножный корм» (living off the land).
Шаг 3: установка агентов Cobalt Strike. При этом используются протоколы, которые могут проходить через брандмауэры, такие как DNS, HTTP или HTTPS. Управляющие серверы для связи с агентами обычно размещаются на пуленепробиваемых (bullet-proof) хостингах.
Шаг 4: как только вымогатели находят данные, которые стоит украсть, они приступают к их сливу на внешние хостинги, такие как mega.nz. Похищенные данные могут быть опубликованы на сайтах, скрытых за сервисами Tor и сетями fast flux. Угроза обнародования этой информации может использоваться на более позднем этапе для давления на жертву.
Шаг 5: когда данные слиты, запускается процесс шифрования. Используются сильные алгоритмы, что исключает возможность создания универсальных инструментов дешифрования. К каждой зашифрованной папке прилагается записка с требованием выкупа и контактными данными.
Шаг 6: операторы вымогателя ждут реакции жертвы и в зависимости от неё реализуют последующие стадии плана: либо получают выкуп, либо усиливают давление, угрожая публикацией похищенных документов.
Как защититься от вымогательства
Эффективны следующие меры:
- Резервное копирование важных файлов по правилу «3-2-1»: не менее трёх копий в двух разных форматах. Причём одна из копий должна находиться вне периметра корпоративной сети. Хороший вариант резервного копирования вне сайта — облако. Оно обеспечивает дополнительные функции безопасности, такие как шифрование данных.
- Ограничение доступа к общим или сетевым дискам и отключение общего доступа к файлам для минимизации риска распространения вымогательского ПО в сети.
- Мониторинг на основе файлов-приманок. Организации могут использовать файлы-приманки, вероятность заражения которых вымогателем выше, но которые не представляют ценности для компании. Когда операторы вымогательского ПО заражают такие файлы, SOC-центры компании получают оповещение;
- мониторинг зашифрованного сетевого трафика с помощью системы предотвращения вторжений следующего поколения (NGIPS). Этот инструмент безопасности позволяет группам SOC проверять метаданные сетевого трафика, чтобы увидеть, где выполняется шифрование и дешифрование.
935 открытий970 показов