Основано на реальных событиях: как шифровальщики ведут переговоры и что советуют жертвам01.02.2024 09:00

Программы-вымогатели — одна из главных киберугроз для российских компаний. Только в прошлом году, по данным F.A. C.C.T., количество атак шифровальщиков на бизнес увеличилось в 2,5 раза. В некоторых случаях суммы выкупа достигали 321 млн рублей.

Мы изучили реальные переписки с вымогателями за последние два года. Посмотрели, как общаются хакеры в чатах с жертвами. Самые показательные примеры и выводы — в этой статье.

8df1c7452d1d47cceef43c8765b3e07c.png

Взгляд сверху

Осенью 50 государств во главе с США заявили, что больше не будут перечислять деньги шифровальщикам. Новый альянс получил название The International Counter Ransomware Initiative. В него вошли Япония, Канада, Франция, ОАЭ, Израиль, Литва и другие страны, которые страдают от массовых атак шифровальщиков на бизнес. 

Цель альянса — лишить вымогателей миллиардных доходов. Все просто: у преступников не будет денег, а значит, группировки прекратят множиться и развиваться. Именно поэтому государства хотят оперативно обмениваться данными о каналах и криптокошельках, которые злоумышленники используют в своих схемах. Перекрывая артерии, правительства планируют предотвращать новые преступные транзакции или, как минимум, прекращать их на время.

Россия в альянс не вошла. Но речь о другом: государствам становится сложнее решать проблему самостоятельно. С каждым годом инцидентов с вымогателями становится больше, в том числе в России. Хотя информации о реальных атаках мало. Жертв можно понять: не хотят рисковать репутацией, дорожат доверием клиентов и вот это все. Да и сами злоумышленники обычно не публикуют данные об атаках, если уже получили выкуп или еще ведут переговоры. 

Пример громкой атаки вымогателей в России — история «Мираторга». В 2022 году от программы-шифровальщика пострадали 15 предприятий агрохолдинга. Злоумышленники применили зловред Win32: Bitlocker/l! rsm, который использует уязвимости систем на базе Microsoft. В итоге компании пришлось приостановить оформление производственных и транспортных ветеринарных документов в электронном виде, что замедлило отгрузку и сбыт товара.

В 2023 году вымогатели чаще атаковали российских операторов связи. Один из них — «ТрансТелеКом» — пострадал 30 октября. Какой именно вирус-шифровальщик использовали преступники и чем закончилась история, нигде не сообщается. Сама компания позже заявила, что ее средства защиты ежедневно отражают сотни внешних атак. 

Еще один пример с оператором связи — история «АйПильсин».Крупнейший интернет-провайдер в Красногорске попал под атаку в ночь на 2 мая 2023-го. Официальных подтверждений того, что причиной стала программа-вымогатель, тоже нет. На устранение последствий ушла почти неделя. Все это время у клиентов были проблемы с интернетом, в том числе под угрозу попали предприятия ВПК в Подмосковье. 

А теперь заглянем в переписки

Реальные диалоги с шифровальщиками мы изучили на ransomch.at. Авторы проекта на Гитхабе собирают пруфы с помощью парсеров и выкладывают их на сайте. Каждый контакт с группировкой оформлен в JSON-файл. Обычно названия компаний-жертв не называются. Во всяком случае, они остаются анонимными, пока об инциденте не расскажут СМИ или злоумышленники. 

Как они общаются 

Шифровальщики в переписках мало похожи на преступников. Ощущение, что общаешься с техподдержкой провайдера или вендора. Весь диалог строится по скриптам, в вежливой и сдержанной форме. 

fbdfc99bfd4bfebc4b5fdaa4386e8659.png

Как видно на примере выше, представители Akira говорят прямо: это чат с саппортом, список украденных данных готовится и кто-то из «компании» скоро выйдет на связь. Все четко, без желания дезориентировать жертву и сорвать куш по-быстрому.

По перепискам мы видим и другие атрибуты типичной ИТ-компании. У группировок есть свои отделы аналитики, демо-версии программ для дешифровки, и даже используется сервисный подход. 

7adbed204124a02c1878a201afcbf11e.png

Вместо угроз жертва получает список платных услуг: полную помощь в расшифровке файлов, отчет о найденных уязвимостях и рекомендации по защите данных от себя же. Хотя обещаний «сделать больно» тоже хватает.

Чем угрожают

Перспектива, что файлы останутся зашифрованными, пугает. Но для многих жертв страшнее, если конфиденциальные данные опубликуют или продадут другим злоумышленникам. Так можно потерять все, в том числе репутацию и клиентов. Преступники, безусловно, это знают и умело используют в своем шантаже.

Особенно опасно, по словам хакеров, если они получают доступ к персональным данным. Как пишет представитель Black Basta, пользователи даркнета знают, как воспользоваться такой информацией.

d3d758c317ee3bc9508c332f693b4ea1.png

Что рекомендуют

Если жертва идет на сделку, то хакеры охотно рассказывают, как именно им удалось попасть в корпоративную сеть. Судя по изученным кейсам, обычно точкой входа становится фишинг (банальные email-рассылки с вредоносами) или уязвимости в ПО. 

121c702758d4837801569510bdb66586.png

Со стороны такие отчеты выглядят как итоги пентеста. Однако, судя по перепискам Akira и Black Basta, текст всегда одинаковый (опять скрипты). В нем злоумышленники также дают рекомендации на будущее, а именно:

  • Как можно чаще проводить инструктажи для персонала, так как человек — самое уязвимое место в системе. Сотрудники не должны открывать подозрительные письма, сомнительные ссылки, бездумно скачивать и открывать сторонние файлы.

  • Применять песочницы для анализа входящих email.

  • Использовать надежные пароли для разных приложений, менять их как можно чаще (1–2 раза в месяц минимум).

  • Подключать многофакторную аутентификацию везде, где это возможно.

  • Создавать jump-хосты для VPN, учетные данные на которых должны отличаться от других используемых логинов-паролей в компании. 

  • Следить за обновлением операционных систем и ПО, так как старые версии часто содержат уязвимости. Особенно хакеры рекомендуют обратить внимание на обновление антивируса Microsoft Defender.

  • Внедрять и внимательно настраивать современные средства защиты — от межсетевых экранов до SIEM-систем.

  • Делать резервные копии и, желательно, хранить их на удаленной площадке. Здесь важно не путать резервное копирование с Disaster Recovery (а такие недопонимания встречались нам на практике). В этом случае вы просто отреплицируете на резервную площадку такие же зашифрованные данные, что и на основной. 

Хотя есть примеры, когда компании пользуются резервным копированием, но все равно решают заплатить злоумышленникам. Причинами могут быть неверные настройки бэкапа, из-за которых можно потерять часть данных. Так произошло, например, в случае с Bakker Heftrucks (дилер сельскохозяйственной спецтехники).

b2789299e602a83652c59156236fbf62.png

Советы неплохие, но …  

В переписке группировки называют себя ИТ-корпорациями и пентестерами. Но на деле вымогатели — не контрагенты с договором. И конечно, выполнения гарантий от них ждать не стоит.

Хотя для тех же Akira или BlackBasta важна репутация, ничто не мешает им пропасть с радаров сразу после получения выкупа от жертвы или передать базу другим группировкам, например. Этим некоторые злоумышленники  угрожают в первых же сообщениях переписки. 

Высший пилотаж — когда злоумышленники грозят пожаловаться контролирующим органам на то, что жертва вовремя не подала рапорт об инциденте или не выполняет иные требования законодательства. Такие примеры тоже есть. 

В целом перечислять деньги преступникам международного уровня — такая себе идея. Особенно в России и тем более сейчас. К проблемам с зашифрованными данными и утечкой информации добавляется ответственность перед законодательством РФ. Со штрафами и другими неприятностями, конечно же.

Вот почему самая простая стратегия здесь — снизить риски заражения на будущее. Тем более злоумышленники сами говорят, что нужно для этого делать. И здесь мы согласны с врагом: хотя бы делайте регулярные бэкапы и тестируйте их. А лучше обращайтесь за помощью к профессионалам. Так вероятность, что придется общаться с вымогателями, будет явно ниже.

© Habrahabr.ru