По понятиям зоны .ru: почему шифровальщики обходят русский домен
Известные хакерские группы, вымогающие деньги из мировых компаний, зашифровывая их компьютеры, не работают по зоне .ru, сообщил «Известиям» эксперт по утечкам данных Ашот Оганесян. Речь о взломщиках, осуществляющих атаки на большие промышленные предприятия, которые тратят миллионы долларов, чтобы снять блокировку. В России тоже есть организации, которые теоретически могли бы заплатить серьезный выкуп, однако их не атакуют. Эксперты объясняют это тем, что вирусописатели в основном живут в России, на Украине и в Белоруссии. Поэтому они не только договорились не трогать зону .ru, но и автоматизировали код. Если программа определяет, что кодируемый объект находится в зоне .ru, шифровальщик не запускается.
Не нарушая конвенцию
Несмотря на то что обычные российские пользователи и представители мелкого бизнеса часто подвергаются атакам вирусов-вымогателей (обычно они шифруют бухгалтерию 1С), отечественные компании-гиганты, которые могли бы заплатить выкуп в миллионы долларов, никто подобным образом не атакует. Об этом «Известиям» рассказал основатель сервиса разведки утечек и мониторинга даркнета DLBI Ашот Оганесян.
— Все эти вымогатели принципиально не работают в России, — сообщил эксперт. — Есть такая договоренность у тех, кто пишет и распространяет вирусный код. С человеком, который ее нарушает, никто не будет сотрудничать. Более того, его свои же и деанонимизируют. Есть такое выражение «работать по ру» — это полностью запрещено.
По словам Ашота Оганесяна, эта договоренность возникла потому, что многие вирусописатели живут на территории России, Украины и Белоруссии.
— То есть в случае их обнаружения к ним могут прийти представители служб безопасности взломанных компаний, — отметил Ашот Оганесян. — А если придут, то, возможно, хакеры сдадут своих подельников. Там сложные цепочки рассуждений, но в результате они привели к категорическому запрету работать в зоне .ru. Причем он автоматизирован. Если код определяет, что шифрует фирму, находящуюся в СНГ, он просто не запускается.
Это подтверждают специалисты компании Group-IB — одного из ведущих разработчиков решений для детектирования и предотвращения кибератак.
— Зачастую код проверяет язык операционной системы, и если он не совпадает с одним из запретного списка, начинается процесс шифрования, — рассказал «Известиям» ведущий специалист лаборатории компьютерной криминалистики Group-IB Олег Скулкин. — Так, например, вымогатель Maze использует функцию GetUserDefaultUILanguage, чтобы получить информацию о языке системы. Эти данные позже сравниваются с набором языков из встроенного списка. Если они соответствуют одному из них, процесс шифрования не запускается.
«Пищевые» цепочки
По словам Олега Скулкина, сообщества, результатом деятельности которых является шифрование информации на компьютерах пользователей или компаний, включают в себя разных специалистов.
Обычно атаки совершают не сами разработчики программ-вымогателей, рассказал эксперт. Часто они создают так называемые партнерские программы, участники которых получают вредоносное ПО и ПО для расшифровки, после чего уже планируют атаку на ту или иную организацию. При этом они могут покупать доступ к сетям компаний у третьих лиц, а также нанимать людей для осуществления самой атаки.
Также, по сведениям Олега Скулкина, особенно крупные игроки могут иметь «в штате» (хакерских сообществах) людей, которые изучают бизнес компаний, их годовой доход и прочее, что позволяет выставить наиболее приемлемый «счет».
Наиболее активными вымогателями являются такие сообщества, как Maze, REvil, NetWalker, LockBit, DoppelPaymer, WastedLocker, Ryuk, считает эксперт.
По мнению Ашота Оганесяна, люди, которые занимаются рассылкой вирусов-шифровальщиков, скорее всего, ничего не понимают в том, как он устроен.
— Одни пишут код, другие взламывают и продают, как правило, удаленный доступ (Citrix, Microsoft RDP), а уже третьи рассылают. Это обычно не совсем уже «школьники», но и не специалисты. Такие люди просто совмещают купленную уязвимость и код от локера (хакера, который пишет блокирующую информацию программу. — «Известия»), — считает эксперт.
Шантаж в квадрате
В последнее время, по словам Ашота Оганесяна, шифровальщики всё чаще стали применять еще один метод шантажа. Они не только блокируют информацию на компьютерах компании, тем самым останавливая всю работу, но и угрожают тем, что сделают эту информацию публичной.
— Сейчас вымогатели не только шифруют, но и сливают данные себе на сервер. Допустим, фирма отказывается платить. Тогда все данные выплескивают в паблик. Там и бухгалтерия, и сотрудники, и данные кредитных карт. А это уже утечка, за которую компании должны отвечать как перед регуляторами, так и перед клиентами, — пояснил эксперт.
По мнению руководителя российского исследовательского центра «Лаборатории Касперского» Юрия Наместникова, всё же встречаются такие вирусы-вымогатели, которые шифруют российские компании, просто обычно это не получает широкой огласки. Также специалист уверен в том, что российские крупные предприятия уделяют большое внимание кибербезопасности, поэтому установленные защитные решения часто успешно обнаруживают и блокируют атаки шифровальщиков.
Впрочем, эксперт подтвердил, что есть несколько групп русскоязычных хакеров, которые не работают по зоне .ru. Юрий Наместников назвал Ta505, Revil/Sodinokibi, Maze, Ragnarlocker.
С другой стороны, Юрий Наместников вспомнил и других известных в мире шифровальщиков — не русскоговорящих. Например, корейскую группировку Lazarus c их шифровальщиком VHD.