Перейти к основному содержанию
Реклама
Прямой эфир
Общество
Путин поручил создать в РФ сеть протезно-ортопедических центров
Мир
Новый и.о. президента Южной Кореи приступил к своим обязанностям
Общество
Песков призвал дождаться оценок авиакатастрофы под Актау от Росавиации
Общество
Куренков доложил Путину о ликвидации последствий ЧС в Краснодарском крае
Мир
Президент Германии Штайнмайер распустил бундестаг
Общество
Госдума в 2025 году рассмотрит вопрос о чрезмерной нагрузке школьников
Мир
Путин сменил посла России в Нигерии
Армия
Российские военные уничтожили две бронированные машины украинских войск в ДНР
Мир
Австрия готовится депортировать не интегрировавшихся в общество сирийцев
Культура
Любимова сообщила о росте сборов российского кино на 24% за год
Мир
РФ сообщила Казахстану о готовности сотрудничать по расследованию авиакатастрофы
Мир
СМИ узнали о требовании Си Цзиньпина предотвращать нападения в Китае
Общество
К Черному морю доставят 100 т сорбента для ликвидации мазута
Экономика
ЦБ поменял механизм расчета официальных курсов валют к рублю
Мир
В Норвегии объяснили причину отказа взять на борт россиян с сухогруза Ursa Major
Культура
Любимова рассказала о важности Евразийской кинопремии
Общество
В РДКБ открыли совмещенное реанимационно-реабилитационное отделение
Армия
Атомная подлодка «Архангельск» проекта 885М «Ясень-М» вошла в состав ВМФ
Главный слайд
Начало статьи
Озвучить текст
Выделить главное
Вкл
Выкл

Известные хакерские группы, вымогающие деньги из мировых компаний, зашифровывая их компьютеры, не работают по зоне .ru, сообщил «Известиям» эксперт по утечкам данных Ашот Оганесян. Речь о взломщиках, осуществляющих атаки на большие промышленные предприятия, которые тратят миллионы долларов, чтобы снять блокировку. В России тоже есть организации, которые теоретически могли бы заплатить серьезный выкуп, однако их не атакуют. Эксперты объясняют это тем, что вирусописатели в основном живут в России, на Украине и в Белоруссии. Поэтому они не только договорились не трогать зону .ru, но и автоматизировали код. Если программа определяет, что кодируемый объект находится в зоне .ru, шифровальщик не запускается.

Не нарушая конвенцию

Несмотря на то что обычные российские пользователи и представители мелкого бизнеса часто подвергаются атакам вирусов-вымогателей (обычно они шифруют бухгалтерию 1С), отечественные компании-гиганты, которые могли бы заплатить выкуп в миллионы долларов, никто подобным образом не атакует. Об этом «Известиям» рассказал основатель сервиса разведки утечек и мониторинга даркнета DLBI Ашот Оганесян.

Все эти вымогатели принципиально не работают в России, — сообщил эксперт. — Есть такая договоренность у тех, кто пишет и распространяет вирусный код. С человеком, который ее нарушает, никто не будет сотрудничать. Более того, его свои же и деанонимизируют. Есть такое выражение «работать по ру» — это полностью запрещено.

По словам Ашота Оганесяна, эта договоренность возникла потому, что многие вирусописатели живут на территории России, Украины и Белоруссии.

компьютер мышка
Фото: Depositphotos

— То есть в случае их обнаружения к ним могут прийти представители служб безопасности взломанных компаний, — отметил Ашот Оганесян. — А если придут, то, возможно, хакеры сдадут своих подельников. Там сложные цепочки рассуждений, но в результате они привели к категорическому запрету работать в зоне .ru. Причем он автоматизирован. Если код определяет, что шифрует фирму, находящуюся в СНГ, он просто не запускается.

Это подтверждают специалисты компании Group-IB — одного из ведущих разработчиков решений для детектирования и предотвращения кибератак.

Зачастую код проверяет язык операционной системы, и если он не совпадает с одним из запретного списка, начинается процесс шифрования, — рассказал «Известиям» ведущий специалист лаборатории компьютерной криминалистики Group-IB Олег Скулкин. — Так, например, вымогатель Maze использует функцию GetUserDefaultUILanguage, чтобы получить информацию о языке системы. Эти данные позже сравниваются с набором языков из встроенного списка. Если они соответствуют одному из них, процесс шифрования не запускается.

«Пищевые» цепочки

По словам Олега Скулкина, сообщества, результатом деятельности которых является шифрование информации на компьютерах пользователей или компаний, включают в себя разных специалистов.

Обычно атаки совершают не сами разработчики программ-вымогателей, рассказал эксперт. Часто они создают так называемые партнерские программы, участники которых получают вредоносное ПО и ПО для расшифровки, после чего уже планируют атаку на ту или иную организацию. При этом они могут покупать доступ к сетям компаний у третьих лиц, а также нанимать людей для осуществления самой атаки.

Также, по сведениям Олега Скулкина, особенно крупные игроки могут иметь «в штате» (хакерских сообществах) людей, которые изучают бизнес компаний, их годовой доход и прочее, что позволяет выставить наиболее приемлемый «счет».

хакер компьютер
Фото: Depositphotos

Наиболее активными вымогателями являются такие сообщества, как Maze, REvil, NetWalker, LockBit, DoppelPaymer, WastedLocker, Ryuk, считает эксперт.

По мнению Ашота Оганесяна, люди, которые занимаются рассылкой вирусов-шифровальщиков, скорее всего, ничего не понимают в том, как он устроен.

Одни пишут код, другие взламывают и продают, как правило, удаленный доступ (Citrix, Microsoft RDP), а уже третьи рассылают. Это обычно не совсем уже «школьники», но и не специалисты. Такие люди просто совмещают купленную уязвимость и код от локера (хакера, который пишет блокирующую информацию программу. — «Известия»), — считает эксперт.

Шантаж в квадрате

В последнее время, по словам Ашота Оганесяна, шифровальщики всё чаще стали применять еще один метод шантажа. Они не только блокируют информацию на компьютерах компании, тем самым останавливая всю работу, но и угрожают тем, что сделают эту информацию публичной.

Сейчас вымогатели не только шифруют, но и сливают данные себе на сервер. Допустим, фирма отказывается платить. Тогда все данные выплескивают в паблик. Там и бухгалтерия, и сотрудники, и данные кредитных карт. А это уже утечка, за которую компании должны отвечать как перед регуляторами, так и перед клиентами, — пояснил эксперт.

По мнению руководителя российского исследовательского центра «Лаборатории Касперского» Юрия Наместникова, всё же встречаются такие вирусы-вымогатели, которые шифруют российские компании, просто обычно это не получает широкой огласки. Также специалист уверен в том, что российские крупные предприятия уделяют большое внимание кибербезопасности, поэтому установленные защитные решения часто успешно обнаруживают и блокируют атаки шифровальщиков.

компьютер сеть
Фото: Depositphotos

Впрочем, эксперт подтвердил, что есть несколько групп русскоязычных хакеров, которые не работают по зоне .ru. Юрий Наместников назвал Ta505, Revil/Sodinokibi, Maze, Ragnarlocker.

С другой стороны, Юрий Наместников вспомнил и других известных в мире шифровальщиков — не русскоговорящих. Например, корейскую группировку Lazarus c их шифровальщиком VHD.

Читайте также
Прямой эфир