Хакерские группировки, которые пользуются вирусами-шифровальщиками и вымогают у компаний миллионы долларов, получают 20–40% от суммы выкупа, рассказали «Известиям» в «Лаборатории Касперского». Большая часть денег, как правило, достаётся подельникам вымогателей. К такому выводу эксперты пришли, изучив сообщения киберпреступников в даркнете. В частности компания исследовала записи группировки REvil, которая в прошлом месяце атаковала подрядчика Apple и запросила у американской корпорации $50 млн. Эксперты подтвердили информацию о сложной иерархии между хакерами и распределении добычи не в пользу организаторов.
Кто во что горазд
«Лаборатория Касперского» проанализировала сообщения в даркнете хакерских группировок REvil и Babuk, специализирующихся на использовании вирусов-шифровальщиков. Выяснилось, что, вопреки устоявшемуся в обществе мнению, злоумышленников, стоящих за атаками, условно можно разделить на четыре большие группы: разработчики ПО, ботмастеры, продавцы доступа и операторы. Все они выполняют разные задачи и могут дробиться на более узкие специализации.
Первая — разработчики вредоносного ПО, которые обычно обеспечивают необходимые для атаки условия, в том числе площадку для проведения переговоров. Они либо продают образцы своих инструментов операторам, либо предлагают их по подписке за долю от полученного выкупа. Вторые — ботмастеры, специалисты, которые имеют доступ к большим сетям зараженных устройств, включающих компьютеры, роутеры, смартфоны и не только. В их базах операторы могут найти устройства, потенциально пригодные для проникновения во внутренний периметр компании-жертвы. Третьи — продавцы доступа. В отличие от ботмастеров они действуют более прицельно и ищут уязвимые устройства, получают к ним доступ и перепродают инструменты входа четвёртой группе — операторам. Они занимаются менеджментом атак: например, выбирают точку входа в организацию и запускают вредонос.
— Труд операторов — экстенсивный. Они стараются охватить наиболее широкую аудиторию потенциальных жертв и уже потом выбирают из них самую доступную и прибыльную. Поэтому пользуются услугами и ботмастеров, и продавцов доступов, — объяснил эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов.
Другие опрошенные «Известиями» эксперты по кибербезопасности тоже отмечают, что операторы вымогателей, чьи названия попадают в заголовки новостей, часто пользуются услугами партнёров.
— Кто-то занимается распространением вредоносного ПО в даркнете, кто-то осуществляет целенаправленные атаки, кто-то эксплуатирует и поддерживает бот-сеть, кто-то занимается финансовыми операциями и выводом электронной валюты в реальную, — перечислил профили хакеров ведущий специалист отдела аудита Infosecurity a Softline Company Анатолий Сазонов.
Технический директор компании RUSIEM Антон Фишман добавил: дробление специализаций порой доходит до того, что за разработку разных частей вирусов-шифровальщиков могут отвечать разные группы программистов.
— Рынок киберпреступности сейчас очень сильно отличается от того, что было в двухтысячных годах. Сейчас это огромное сообщество со своими ролями. Вредоносное ПО уже не пишется и не распространяется в одиночку — это целые конвейерные структуры, — отметил эксперт.
Табачок врозь
Объявления о наборе специалистов для проведения атаки, как правило, публикуются на страницах теневых форумов. В них же нередко заранее прописывается и номинал вознаграждения. Им может быть как фиксированная сумма, так и доля от «выручки». Например, образцы вредоносных программ или их исходные коды могут выставлять за $300-4000. Если речь идёт об «аренде» ВПО, то сумма может варьироваться от $120 в месяц до $1900 в год.
В тех же случаях, когда вознаграждение партнеров определяется долей от выкупа, сами операторы зачастую оставляют себе меньшую часть. Конкретно REvil и Babuk обычно претендуют на 20-40%, рассказали «Известиям» в «Лаборатории Касперского». Дмитрий Галов отмечает, что в случае с другими группировками разброс если и отличается, то не сильно.
Ведущий специалист по компьютерной криминалистике Group-IB Олег Скулкин тоже говорит, что операторы чаще всего оставляют себе меньшую часть куша. По его словам, обычно операторы берут не более 30%. Однако многое при подсчете этой доли зависит от функций, которые они выполняют.
И хотя все опрошенные «Известиями» специалисты согласны с неоднородностью группировок, участвующих в вымогательских акциях, некоторые приписывают операторам и партнёрам не те функции, которые выделила «Лаборатория Касперского». Например, старший аналитик Positive Technologies Вадим Соловьёв тоже назвал четыре категории специалистов, которые участвуют в атаках с использованием вирусов-вымогателей, но по функциям распределил их иначе.
Операторами аналитик назвал разработчиков вредоносного ПО. А партнерами — тех, кто занимается менеджментом: покупает доступы, ищет хакеров с нужной специализацией, ведёт переговоры с жертвами. Другой группой, по версии Positive Technologies, выступают специалисты по взлому: они добывают наиболее привилегированный доступ в сетевой инфраструктуре жертвы. Четвертая группа — продавцы доступов. Их описание совпадает с характеристикой «Лаборатории Касперского».
— Операторы, партнёры и специалисты по взлому получают по 30%, а продавцы доступов — по 10%. Доля партнеров может быть увеличена до 50% за счет сокращения доли оператора (до 10%) и покупки доступа в сеть за фиксированную цену, — объяснил распределение доходов Вадим Соловьёв.
Эксперты сходятся во мнении, что среди всего многообразия специалистов самыми дорогими участниками вымогательских операций оказываются пентестеры. Это специалисты, которые тестируют системы жертв на проникновение и находят уязвимости, позволяющие хакерам развернуть атаку на полную.
— Ведь одно дело получить первоначальный доступ к сети, и совсем другое — продвинуться по ней и полностью скомпрометировать, успешно выгрузив данные и развернув вымогательское программное обеспечение, — пояснил Олег Скулкин из Group-IB.
В свою очередь, директор блока экспертных сервисов BI.ZONE Евгений Волошин добавил, что на равне с пентестерами операторам дорого обходятся и авторы криптоалгоритмов, которые, собственно, и шифруют файлы в компьютерных сетях жертв.
Зашифрованная волна
Взломы с использованием вирусов-шифровальщиков участились в прошлом году и остаются большой проблемой для служб информационной безопасности по сей день. Например, в отчете от Positive Technologies говорится, что количество атак на компании из промышленного сектора в 2020-м увеличилось на 91%. При этом в большинстве случаев хакеры пользовались именно вирусами-шифровальщиками.
Один из самых громких инцидентов с их применением в 2021 году произошел 20 апреля. Группировка REvil объявила об атаке на одного из подрядчиков Apple — тайваньскую компанию Quanta Сomputer. Хакеры шантажировали Apple публикацией чертежей неанонсированных устройств корпорации. За неразглашение данных злоумышленники требовали заплатить им $50 млн до 1 мая.
Однако уже 27 апреля REvil удалила свои сообщения, в которых обращалась к Apple. Достоверно причины такого поведения злоумышленников неизвестны. Однако технический директор RUSIEM Антон Фишман полагает, что переговоры, скорее всего, продолжаются и у хакеров есть шансы достичь своей цели. Хоть и не в полном объёме.
— Учитывая, что REvil готовы к снижению стоимости с $50 млн до $20 млн и подключили к решению конфликта Apple, есть вероятность, что выкуп они получат, — считает эксперт.
В свою очередь Олег Скулкин из Group-IB трактует поведение злоумышленников менее однозначно. По его словам, тот факт, что REvil удалила свои обращения к Apple, может говорить как о выплате выкупа, так и о продаже данных или просто о решении хакеров перестать привлекать внимание к громкой истории.