Как устроен бизнес хакеров-вымогателей

В своем коммюнике, принятом после мероприятия в Карбис Бэй, G7 сообщила о намерении совместно бороться с киберпреступниками. Спустя несколько дней после этого президент США Джо Байден встретился с президентом России Владимиром Путиным. Они обсуждали в том числе и вопрос экстрадиции российский киберпреступников в США для судебного разбирательства.
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

По последним данным, Путин согласился на сотрудничество с Байденом, но настоял на том, что экстрадиция должна быть обоюдной. То есть и РФ, и Соединенные Штаты Америки должны передать преступников друг другу. Пока неясно, достигнут ли главы государств соглашения по экстрадиции, но если это в итоге случится, то кого именно надо отправить в другое государство, кого будут судить и за что?

Проблема в плане законодательства заключается в неоднозначности вирусов-вымогателей, которые крадут правительственные данные или данные крупных организаций и требуют за их возвращение выкуп, а также тех, кто подобные программы распространяет. Мало того что использование такого вредоносного ПО подразумевает нарушение сразу нескольких законов, так подобные преступления еще и затрагивают сразу несколько юрисдикций. К тому же правоохранительным органам крайне тяжело выявить преступника, потому что вирусы-вымогатели распространяются через крупные преступные сети между незнакомыми друг с другом специалистами, чтобы снизить риск ареста для всех подельников.Поэтому важно в деталях рассмотреть подобные хакерские атаки, чтобы понять, как США и страны G7 планируют бороться с нарастающим количеством киберпреступлений.

Количество прецедентов за время пандемии значительно увеличилось: только в мае 2021 года зафиксировано по меньшей мере 128 случаев кражи данных с последующим вымогательством.

Специалисты считают, что правительственные органы слабо себе представляют, как организована киберпреступность и какие стратегии они используют при нападении на госорганы и крупные корпорации.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Индустрия вирусов-вымогателей пагубно влияет на размеренную жизнь людей. Именно хакеры в ответе за огромное количество массовых «сбоев» в работе критически важных служб и структур по всему миру. Из-за них корпорации теряют миллионы долларов. Кроме того, украденная информация начинает циркулировать в цифровых криминальных кругах и всячески провоцирует новые преступления.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Сами атаки тоже меняются. Индустрия киберпреступлений превратилась в бизнес, где услуги по инъекции вредоносного ПО оказываются как сервис. Грубо говоря, можно обратиться к специалистам-взломщикам, и они за определенную плату предоставят вирус, возьмут на себя «услуги по вымогательству», проведут все платежи и т.п. Но чтобы не подставляться и не угодить в тюрьму, профессиональные хакеры-вымогатели за щедрые комиссионные нанимают посредников, чтобы совершать свои злодеяния, используя чужое аппаратное обеспечение.

Из-за подобных методик работы появляются новые криминальные элементы: люди, которые якобы совершают атаку и распространяют вирусы, — это не те же люди, кто планирует украсть конфиденциальные данные крупной корпорации или даже целой страны. И обеим звеньям этой цепочки помогают различные инструменты киберпреступной экосистемы, чтобы еще больше запутать правоохранительные органы и повысить шансы на успешную атаку.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Как работают хакеры-вымогатели?

Специалист по безопасности Дэвид Уолл (David Wall) описывает несколько этапов реализации атаки, который он вывел после анализа 4000 взломов, совершенных в период с 2012 по 2021 годы.

Сначала злоумышленники проводят своего рода разведку: находят потенциальных жертв и способы внедрения вирусов в их сеть. Чаще всего это превращается в поиск уязвимостей в безопасности программного и аппаратного обеспечения крупных компаний и государственных организаций. Затем потенциальные взломщики пытаются получить первичный доступ в сеть будущей жертвы, используя хакерские навыки (проникая во внутреннюю сеть через брешь в безопасности серверов) или покупая актуальные данные для входа во внутреннюю сеть компании через даркнет.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Получив первичный доступ, хакеры начинают искать способы стать «более привилегированными пользователями», чтобы у них появилась возможность просматривать критически важные для жертвы данные, кража которых больше всего повлияет на деятельность организации, ее репутацию. По этой причине хакеры чаще атакуют медицинские организации и полицию. У них есть чем «поживиться», к тому же владельцы украденной информации точно захотят за нее заплатить.

После того как преступники находят то, что можно украсть, они копируют эти данные к себе. И только после этого переходят к инъекции и запуску вируса-вымогателя, чтобы сообщить пострадавшим о том, что информация похищена.

Следующий этап — блокировка доступа к важной информации и инициализация вредоносного программного обеспечения. Тут же пострадавший оказывается среди взломанных ресурсов на специальном сайте в даркнете. На нем публикуется своего рода пресс-релиз, в котором хакеры рассказывают о том, насколько они хороши и как облажались их «оппоненты», а также указывают требования, исполнение которых позволит избежать дальнейших утечек.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
Обычно так выглядит вирус-вымогатель
Обычно так выглядит вирус-вымогатель
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Успешная атака для злоумышленников заканчивается переводом необходимой суммы на криптокошелек, по которому крайне тяжело отследить вымогателей. Затем эти деньги «отмываются» через конвертацию в фиатную валюту. Часто большую часть денег преступники тратят на техническое оснащение и комиссию посредников, чтобы их не поймала полиция.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Киберпреступная экосистема

Теоретически все этапы атаки можно пройти в одиночку, но на практике это маловероятно. Чтобы сократить шанс оказаться в тюрьме, злоумышленники объединяются в группы. Каждый из ее участников — мастер своего дела. Он специализируется на конкретной стадии взлома и исполняет ее предельно профессионально. Во-первых, это снижает риски провалить дело. Во-вторых, подобная взаимозависимость выступает в роли амортизации уголовной ответственности для каждого взломщика.

В мире киберпреступников, как и в MMO-видеоиграх, есть масса специализаций. Есть спамеры, заказывающие спам-рассылки и соответствующее программное обеспечение, есть фишеры, ворующие данные через почтовые рассылки, скамеры, совершающие мошеннические сделки в сети и ворующие персональные данные своих жертв, а также брокеры из даркнета, умеющие дорого продать украденную информацию.

Есть брокеры, специализирующиеся на первичных взломах: они добывают часть информации, а затем продают логины и пароли для полного доступа к предложенной информации.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Для координирования всех киберпреступников существуют онлайн-магазины в даркнете, где все желающие могут продавать или покупать различные криминальные сервисы. Там же обитают те, кто отмывает незаконным путем заработанные криптомонеты и конвертирует их в фиатную валюту. Ну и переговорщики, которые помогают преступнику и жертве «уладить сделку».

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Эта экосистема постоянно эволюционирует и совершенствуется. К примеру, недавно появились консультанты, которые берут процент за то, что дают потенциальным взломщикам разного рода полезную информацию.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Что с этим делать?

Правительственные органы и полицейские не сидят на месте и постоянно придумывают новые методы борьбы с киберпреступниками. Например, после встречи G7 в Корнуэлле в июне 2021 года украинские и южнокорейские правоохранительные органы скоординировались и поймали членов печально известной группы хакеров CL0P. В то же время россиянина Олега Кошкина полиция США обвинила в использовании программы-шифровщика, с помощью которой преступники рассылают вирусы, оставаясь при этом незамеченными для антивирусного ПО.

И пока разработки в области безопасности видятся специалистам весьма многообещающими, киберпреступники не стоят на месте и постоянно развивают свою экосистему. И как бы правоохранительная система не оттачивала методики поимки взломщиков, она всегда отстает на шаг, потому что не может найти заказчиков преступления, да и гибкость государственных систем отстает от таковой у хакеров. Поэтому не факт, что налаженная экстрадиция между США и Россией сможет улучшить ситуацию.

С оригиналом статьи можно ознакомиться здесь.

Перевод подготовил Space Police специально для Timeweb

Дарим 3000 рублей новым партнерам хостинга Timeweb! Зарегистрируйтесь в партнерской программе и напишите нам «Хочу 3000!». Подробности по ссылке.