Как устроен бизнес хакеров-вымогателей
По последним данным, Путин согласился на сотрудничество с Байденом, но настоял на том, что экстрадиция должна быть обоюдной. То есть и РФ, и Соединенные Штаты Америки должны передать преступников друг другу. Пока неясно, достигнут ли главы государств соглашения по экстрадиции, но если это в итоге случится, то кого именно надо отправить в другое государство, кого будут судить и за что?
Проблема в плане законодательства заключается в неоднозначности вирусов-вымогателей, которые крадут правительственные данные или данные крупных организаций и требуют за их возвращение выкуп, а также тех, кто подобные программы распространяет. Мало того что использование такого вредоносного ПО подразумевает нарушение сразу нескольких законов, так подобные преступления еще и затрагивают сразу несколько юрисдикций. К тому же правоохранительным органам крайне тяжело выявить преступника, потому что вирусы-вымогатели распространяются через крупные преступные сети между незнакомыми друг с другом специалистами, чтобы снизить риск ареста для всех подельников.Поэтому важно в деталях рассмотреть подобные хакерские атаки, чтобы понять, как США и страны G7 планируют бороться с нарастающим количеством киберпреступлений.
Специалисты считают, что правительственные органы слабо себе представляют, как организована киберпреступность и какие стратегии они используют при нападении на госорганы и крупные корпорации.
Индустрия вирусов-вымогателей пагубно влияет на размеренную жизнь людей. Именно хакеры в ответе за огромное количество массовых «сбоев» в работе критически важных служб и структур по всему миру. Из-за них корпорации теряют миллионы долларов. Кроме того, украденная информация начинает циркулировать в цифровых криминальных кругах и всячески провоцирует новые преступления.
Сами атаки тоже меняются. Индустрия киберпреступлений превратилась в бизнес, где услуги по инъекции вредоносного ПО оказываются как сервис. Грубо говоря, можно обратиться к специалистам-взломщикам, и они за определенную плату предоставят вирус, возьмут на себя «услуги по вымогательству», проведут все платежи и т.п. Но чтобы не подставляться и не угодить в тюрьму, профессиональные хакеры-вымогатели за щедрые комиссионные нанимают посредников, чтобы совершать свои злодеяния, используя чужое аппаратное обеспечение.
Из-за подобных методик работы появляются новые криминальные элементы: люди, которые якобы совершают атаку и распространяют вирусы, — это не те же люди, кто планирует украсть конфиденциальные данные крупной корпорации или даже целой страны. И обеим звеньям этой цепочки помогают различные инструменты киберпреступной экосистемы, чтобы еще больше запутать правоохранительные органы и повысить шансы на успешную атаку.
Как работают хакеры-вымогатели?
Специалист по безопасности Дэвид Уолл (David Wall) описывает несколько этапов реализации атаки, который он вывел после анализа 4000 взломов, совершенных в период с 2012 по 2021 годы.
Сначала злоумышленники проводят своего рода разведку: находят потенциальных жертв и способы внедрения вирусов в их сеть. Чаще всего это превращается в поиск уязвимостей в безопасности программного и аппаратного обеспечения крупных компаний и государственных организаций. Затем потенциальные взломщики пытаются получить первичный доступ в сеть будущей жертвы, используя хакерские навыки (проникая во внутреннюю сеть через брешь в безопасности серверов) или покупая актуальные данные для входа во внутреннюю сеть компании через даркнет.
Получив первичный доступ, хакеры начинают искать способы стать «более привилегированными пользователями», чтобы у них появилась возможность просматривать критически важные для жертвы данные, кража которых больше всего повлияет на деятельность организации, ее репутацию. По этой причине хакеры чаще атакуют медицинские организации и полицию. У них есть чем «поживиться», к тому же владельцы украденной информации точно захотят за нее заплатить.
После того как преступники находят то, что можно украсть, они копируют эти данные к себе. И только после этого переходят к инъекции и запуску вируса-вымогателя, чтобы сообщить пострадавшим о том, что информация похищена.
Следующий этап — блокировка доступа к важной информации и инициализация вредоносного программного обеспечения. Тут же пострадавший оказывается среди взломанных ресурсов на специальном сайте в даркнете. На нем публикуется своего рода пресс-релиз, в котором хакеры рассказывают о том, насколько они хороши и как облажались их «оппоненты», а также указывают требования, исполнение которых позволит избежать дальнейших утечек.
Успешная атака для злоумышленников заканчивается переводом необходимой суммы на криптокошелек, по которому крайне тяжело отследить вымогателей. Затем эти деньги «отмываются» через конвертацию в фиатную валюту. Часто большую часть денег преступники тратят на техническое оснащение и комиссию посредников, чтобы их не поймала полиция.
Киберпреступная экосистема
Теоретически все этапы атаки можно пройти в одиночку, но на практике это маловероятно. Чтобы сократить шанс оказаться в тюрьме, злоумышленники объединяются в группы. Каждый из ее участников — мастер своего дела. Он специализируется на конкретной стадии взлома и исполняет ее предельно профессионально. Во-первых, это снижает риски провалить дело. Во-вторых, подобная взаимозависимость выступает в роли амортизации уголовной ответственности для каждого взломщика.
В мире киберпреступников, как и в MMO-видеоиграх, есть масса специализаций. Есть спамеры, заказывающие спам-рассылки и соответствующее программное обеспечение, есть фишеры, ворующие данные через почтовые рассылки, скамеры, совершающие мошеннические сделки в сети и ворующие персональные данные своих жертв, а также брокеры из даркнета, умеющие дорого продать украденную информацию.
Есть брокеры, специализирующиеся на первичных взломах: они добывают часть информации, а затем продают логины и пароли для полного доступа к предложенной информации.
Для координирования всех киберпреступников существуют онлайн-магазины в даркнете, где все желающие могут продавать или покупать различные криминальные сервисы. Там же обитают те, кто отмывает незаконным путем заработанные криптомонеты и конвертирует их в фиатную валюту. Ну и переговорщики, которые помогают преступнику и жертве «уладить сделку».
Эта экосистема постоянно эволюционирует и совершенствуется. К примеру, недавно появились консультанты, которые берут процент за то, что дают потенциальным взломщикам разного рода полезную информацию.
Что с этим делать?
Правительственные органы и полицейские не сидят на месте и постоянно придумывают новые методы борьбы с киберпреступниками. Например, после встречи G7 в Корнуэлле в июне 2021 года украинские и южнокорейские правоохранительные органы скоординировались и поймали членов печально известной группы хакеров CL0P. В то же время россиянина Олега Кошкина полиция США обвинила в использовании программы-шифровщика, с помощью которой преступники рассылают вирусы, оставаясь при этом незамеченными для антивирусного ПО.
И пока разработки в области безопасности видятся специалистам весьма многообещающими, киберпреступники не стоят на месте и постоянно развивают свою экосистему. И как бы правоохранительная система не оттачивала методики поимки взломщиков, она всегда отстает на шаг, потому что не может найти заказчиков преступления, да и гибкость государственных систем отстает от таковой у хакеров. Поэтому не факт, что налаженная экстрадиция между США и Россией сможет улучшить ситуацию.
С оригиналом статьи можно ознакомиться здесь.
Перевод подготовил Space Police специально для Timeweb
Дарим 3000 рублей новым партнерам хостинга Timeweb! Зарегистрируйтесь в партнерской программе и напишите нам «Хочу 3000!». Подробности по ссылке.
Количество прецедентов за время пандемии значительно увеличилось: только в мае 2021 года зафиксировано по меньшей мере 128 случаев кражи данных с последующим вымогательством.