«Средний размер выкупа — $247 000». Киберкриминалист — о мотивации хакеров и атаках на российские компании

— За последние несколько месяцев кибератак на российские компании стало больше?

— На самом деле их было много всегда, но в последние месяцы массово вырос интерес к киберугрозам и гораздо больше инцидентов стало попадать в публичное поле. Хакеры, особенно те, которые занимаются хактивизмом, чаще постят информацию в Twitter или на свои сайты. 

Если же мы говорим про профессиональные атаки, которые совершаются с целью шпионажа или нанесения ущерба, их активная фаза выпала на конец марта-начало апреля. Совокупное число инцидентов за апрель этого года в три раза превышает показатель 2021-го. Сейчас их число возвращается к средним значениям.

— Изменились ли инструменты, которыми пользуются хакеры?

— Важно понимать, что атаки бывают очень разными — например, некоторые DDoS-атаки на инфраструктуру организуются любителями в Telegram-чатах, и присоединиться к ним может любой желающий, используя личный компьютер. Такие «набеги» не подразумевают проникновение в сеть, кражу данных и разрушительные действия. Это скорее хулиганство.

В продвинутом киберпреступном мире вот уже два года растет тренд на атаки с использованием программ-вымогателей.

В конце 2019-го злоумышленники придумали такую технику: сначала распространить вредоносную программу в корпоративной сети, чтобы мотивировать жертву платить, а затем — выложить предварительно выгруженные  конфиденциальные данные компании на специальный сайт в ограниченном объеме.

Это оказывает дополнительное давление на пострадавшую компанию, потому что за утечку таких данных, например, в Европе предусмотрены очень крупные штрафы и санкции.

Выкуп же исчисляется, как минимум, десятками тысяч долларов, как максимум — миллионами. Средний размер требуемого выкупа, по нашим данным, составляет $247 тыс.

Этот тренд пришел и в Россию, но в меньшей степени, потому что здесь метод не так эффективен — штрафы за утечку в разы меньше. Публикация «достижений» о взломе российских компаний сегодня является скорее актом хактивизма, к чему регулярно прибегают некоторые хакерские группы.

— Что нам известно о мотивации киберпреступников?

— Заметно больше стало атак с целью финансовой выгоды. Тут роль играет не столько политический контекст, сколько сам факт того, что Россия сейчас во всех заголовках, вырос уровень информационного шума — это позволяет злоумышленникам смешаться с потоком, к ним нет столь пристального внимания. 

Те же операторы программ-вымогателей сейчас не так интересны правоохранительным органам, потому что у них есть много других проблем.

Также участились случаи атак, которые ведутся, чтобы парализовать работу организации. У известной хакерской группы Conti, которая использовала программы-вымогатели, не так давно утекли исходные коды. Группа активистов использовала их, переписала под себя и сейчас активно нападает на российские компании. 

То есть если речь идет об активистах, их цель — как минимум, испортить репутацию, как максимум — получить конфиденциальные данные, связанные с людьми, которые сейчас находятся под санкциями. 

— Что представляют собой прогосударственные хакерские группировки?

— Обычно это реальные госслужащие. Их выбирают очень долго и тщательно, могут брать в разработку с университетской скамьи. Такие люди имеют определенный талант и развивают его. 

Фактически это киберармия, и сегодня она есть почти у каждой страны. Потому что в киберпространстве много чего происходит, и защищать свои интересы в нем необходимо. 

Тактики, техники и процедуры очень схожи с теми, которыми пользуются злоумышленники. Сегодня некоторые компании в России боятся ставить, например, обновления на зарубежный софт, опасаясь «сюрпризов» от западных спецслужб. 

Возможно, у них действительно есть рычаги влияния на каких-то вендоров и они могут загрузить вредоносное ПО с очередным обновлением. А возможно — уже загрузили. Об этом не следует забывать.

— Какие организации обычно становятся мишенью для хакеров?

— Злоумышленников в первую очередь интересуют крупные организации, потому что о них можно сразу написать в Twitter и привлечь внимание. К тому же они хранят много чувствительной информации, утечка которой способна нанести ощутимый ущерб или парализовать работу целого направления.

Однако в зону риска попадают абсолютно все компании, в которых нет адекватной защиты от фишинговых рассылок. 

Утечек будет много, их число будет расти. Ситуация сложная, и многие злоумышленники, которые раньше не интересовались нашей страной, изменили свое отношение. 

Если в компании нет никаких средств защиты, никакой специализированной команды, она гарантированно будет взломана рано или поздно.

— Как технически осуществляется среднестатистическая атака, из каких этапов состоит?

— Сейчас большинство атак — «человекоуправляемые».То есть главным действующим лицом является не программа, как десять лет назад, а так называемый оператор .н получает доступ к скомпрометированной системе,  после этого — осуществляют сбор информации о скомпрометированной инфраструктуре, при необходимости повышают привилегии, получают аутентификационные данные и начинают продвигаться по сети.

Почти на каждом из этапов дальнейшее распространение угрозы можно предотвратить, если организация заранее озаботилась антивирусным или другим специальным ПО. 

Тут важно оговориться, что средства защиты работают, но в текущих реалиях — я имею в виду не последние месяцы, а последние годы — полагаться только на софт нельзя, нужна команда. Хотя бы один специалист по безопасности, который может среагировать вовремя. 

Наш опыт расследования инцидентов показывает, что очень часто средства защиты заказчика сигнализируют о наличии проблем в течение одной-двух недель, но никто не обращает на это внимания. И все это время атака развивается, хотя ее можно было обнаружить и купировать,  предотвратив последствия. 

Раньше подобные сложные устойчивые угрозы (APT — advanced persistent threat, прим. ред.) исходили в основном от прогосударственных групп, которые занимались шпионажем. С 2016 года появилось большое количество финансово мотивированных ребят, которые стали использовать те же методы. Тогда же произошла волна крупных атак на российские банки. Сегодня эти инструменты доступны и «хактивистам».

Если у вас нет понимания, что и где у вас в системе происходит, — вы никак не защититесь. Расследовать постфактум можно, есть криминалистические методы, которые позволяют получить копию диска или файлов с него, и на основе этих данных конструировать инцидент. Но противостоять злоумышленникам в режиме реального времени могут только специально обученные люди.

— Как выявить инсайдера?

— Весной были единичные случаи, когда обычные сотрудники внезапно, в порыве расстройства и желания навредить своей организации, шли на контакт со злоумышленниками. Как правило, это относится к тем, кто работает за пределами страны.

Бывает, что инсайдером становится «обиженный» сотрудник, которому не заплатили. Самая распространенная история — это когда сотрудник перед увольнением выгружает себе переписку или какие-то файлы из корпоративных систем.

— Как часто их удается привлечь к ответственности? 

— В нашей практике был кейс, когда сотрудника подкупили финансово мотивированные злоумышленники и попросили запустить на компьютере вредоносную программу. Это закончилось уголовным делом — на основе криминалистического анализа получилось реконструировать инцидент и доказать его вину. Но это очень редкий случай.

— Что вы рекомендуете делать клиентам, которые столкнулись с атакой?

— Прежде всего — необходимо привлекать профессионалов, причем чем раньше, тем лучше. 

Что касается выкупа — все зависит от конкретного инцидента. Если бизнес компании построен на ИТ, ее базы данных зашифрованы, а резервных копий нет или они уничтожены, возможности не платить, скорее всего, просто нет. В такой ситуации можно восстановить работу, только заплатив выкуп.

Работу с последствиями инцидента тоже лучше доверить профессионалам. Важно разобраться, каких средств защиты или специалистов не хватает, укрепить информационную безопасность компании. 

— Как уход иностранных вендоров повлияет на российский сегмент ИБ?

— В России однозначно достаточно собственных средств защиты — мы без проблем можем заместить вообще все зарубежные аналоги. Информационная безопасность в нашей стране активно развивалась, крупные российские компании фактически являются экспортерами технологий. У Group-IB, например, огромное количество клиентов за рубежом. 

Другой вопрос, что придется пройти через переходный период, менять привычки, переходить на другие решения.