И зашифровать, и украсть: новый подход к вымогательству

Михаил Кондрашин

технический директор Trend Micro в РФ и СНГ

Для современных предприятий утечка данных, которая затрагивает интеллектуальную собственность, служебную информацию, персональные данные сотрудников и клиентов, влечёт за собой значительные убытки. Не говоря уже о штрафах регулирующих органов, судебных исках и репутационном ущербе. Может показаться, что атаки шантажистов в первую очередь направлены на крупные промышленные и финансовые гиганты. Но это не так — разработчики ПО также оказываются жертвами вымогательства.

В феврале 2021 года компания CD Projekt RED, польский разработчик компьютерных игр, стал жертвой кибератаки с использованием вымогательского ПО. Преступники проникли в инфраструктуру компании, зашифровали и похитили данные.

Злоумышленники заявили, что им удалось похитить конфиденциальные документы. А также исходный код игр Cyberpunk 2077, Witcher 3 и Gwent. И если компания откажется платить выкуп, они опубликуют похищенные данные в открытом доступе.

Записка с требованием выкупа. Источник: Twitter-аккаунт CD Projekt RED

После того, как CD Projekt RED отказалась платить выкуп и восстановила зашифрованные данные из резервных копий, хакеры выставили на продажу полученную информацию на файлообменнике за семь миллионов долларов США. Аукцион закрыли досрочно после получения более выгодного предложения.

В июне 2021 года телеграм-канал «Утечки информации» сообщил, что на одном из подпольных форумов в даркнете опубликованы исходные коды компьютерной игры Cyberpunk 2077. Общий размер архива составил 96 ГБ. Внутри — 787 тысяч файлов объёмом 161 ГБ. Исходный код относился к версии игры 1.0.

Также стало известно, что на onion-сайте Payload Bin в сети Tor, принадлежащем операторам вымогательского ПО Babuk, размещены все похищенные у CD Projekt RED исходные коды. Включая Cyberpunk 2077. Размер архива составил более 360 ГБ.

Разделение труда вымогателей

Современные кибервымогатели отказались от автоматизированных массовых атак, которые работают по принципу «запусти и молись». Вместо этого операторы ПО сначала ищут крупную цель, а затем изучают и компрометируют каждый участок сети жертвы. И, наконец, запускают полезную нагрузку для шифрования и кражи всех важных данных.

Целевой характер атак не единственная новинка, которую можно встретить. Ещё одно важное новшество — разделение труда между преступными группировками. Конкуренция между группировками привела к тому, что появились команды, которые специализируются на исполнении конкретных стадий кибератаки. Например, хакеры, которые проникают в сеть, не обязательно те, кто развёртывает полезную нагрузку и запускает процесс шифрования. Переговоры о выплате выкупа и распределение полученных средств может вести третья команда.

Такая специализация стала побочным результатом эволюции киберпреступного бизнеса. И позволила операторам вымогателей приобретать услуги команд вместо поиска собственных кадров. В результате проведение самых сложных киберкампаний стало значительно проще.

Однако бурный рост числа кибервымогательских кампаний обусловлен не только организационными, но и технологическими факторами.

Четыре фактора успешного вымогательства

Киберпреступники с готовностью внедряют технологии, позволяющие улучшить финансовый результат. В числе ключевых факторов, которые способствовали переходу к целевой схеме монетизации преступности следующие:

• увеличение вычислительной мощности, которое позволяет киберпреступникам глубоко автоматизировать сбор и обработку информации о жертвах;
• наличие государственных и частных баз данных и средств автоматизации, которые помогают проводить точную категоризацию жертв на основе их местонахождения, отрасли, названия компании, размера и дохода;
• анонимные трансграничные денежные переводы большого объёма с использованием криптовалют и криптовалютных микшеров;
• коммуникационные платформы, обеспечивающие безопасное, интерактивное и анонимное взаимодействие позволили упростить и расширить сотрудничество между различными киберпреступными группами.

В результате значительно усугубились последствия вымогательства и риски, связанные с каждой атакой. Вероятность получения профита стала выше — поскольку профессиональные команды высокопрофессиональных хакеров совместно проводят атаку. Это усложнило стратегии защиты и уменьшило возможности смягчения последствий для организаций-жертв.

Примерная схема вымогательства

Шаг 1: проникновение в сеть с использованием слабых учётных данных в открытых службах RDP или других внешних HTTP-службах. Другой популярный вариант — критические уязвимости в сервисах, например уязвимости нулевого дня в Citrix.

Шаг 2: оказавшись в сети жертвы, хакеры в ручном режиме изучают доступные ресурсы и осуществляют боковое перемещение, пытаясь найти в сети жертвы важные системы, которые, скорее всего, содержат конфиденциальные данные для кражи и шифрования. Для перемещения по сети используют обычные инструменты администратора, чтобы избежать обнаружения автоматизированными средствами защиты. Такая техника называется «подножный корм» (living off the land).

Шаг 3: установка агентов Cobalt Strike. При этом используются протоколы, которые могут проходить через брандмауэры, такие как DNS, HTTP или HTTPS. Управляющие серверы для связи с агентами обычно размещаются на пуленепробиваемых (bullet-proof) хостингах.

Шаг 4: как только вымогатели находят данные, которые стоит украсть, они приступают к их сливу на внешние хостинги, такие как mega.nz. Похищенные данные могут быть опубликованы на сайтах, скрытых за сервисами Tor и сетями fast flux. Угроза обнародования этой информации может использоваться на более позднем этапе для давления на жертву.

Шаг 5: когда данные слиты, запускается процесс шифрования. Используются сильные алгоритмы, что исключает возможность создания универсальных инструментов дешифрования. К каждой зашифрованной папке прилагается записка с требованием выкупа и контактными данными.

Шаг 6: операторы вымогателя ждут реакции жертвы и в зависимости от неё реализуют последующие стадии плана: либо получают выкуп, либо усиливают давление, угрожая публикацией похищенных документов.

Как защититься от вымогательства

Эффективны следующие меры:

• Резервное копирование важных файлов по правилу «3-2-1»: не менее трёх копий в двух разных форматах. Причём одна из копий должна находиться вне периметра корпоративной сети. Хороший вариант резервного копирования вне сайта — облако. Оно обеспечивает дополнительные функции безопасности, такие как шифрование данных.
• Ограничение доступа к общим или сетевым дискам и отключение общего доступа к файлам для минимизации риска распространения вымогательского ПО в сети.
• Мониторинг на основе файлов-приманок. Организации могут использовать файлы-приманки, вероятность заражения которых вымогателем выше, но которые не представляют ценности для компании.  Когда операторы вымогательского ПО заражают такие файлы, SOC-центры компании получают оповещение;
• мониторинг зашифрованного сетевого трафика с помощью системы предотвращения вторжений следующего поколения (NGIPS). Этот инструмент безопасности позволяет группам SOC проверять метаданные сетевого трафика, чтобы увидеть, где выполняется шифрование и дешифрование.