Интервью

«Средний размер выкупа — $247 000». Киберкриминалист — о мотивации хакеров и атаках на российские компании

Интервью
Елена Черкас
Елена Черкас

Глава отдела интервью и лонгридов

Елена Черкас

Вопрос кибербезопасности российских компаний занимает заметное место в информационной повестке последних месяцев. Так, Сбербанк заявил, что с начала специальной военной операции количество атак на бизнес выросло в 15 раз, а киберпреступникам удалось получить доступ к персональным данным 65 млн россиян.  

Среди самых громких инцидентов — утечка личных данных пользователей «умного дома» от «Ростелекома», клиентов Delivery Club и посетителей лаборатории «Гемотест». Число атак с помощью программ-вымогателей в первом квартале 2022 года выросло в четые раза. 

Олег Скулкин, руководитель лаборатории цифровой криминалистики Group-IB, рассказал RB.RU, как меняется ландшафт киберугроз в России и почему деньги — не единственная мотивация хакеров-активистов.

«Средний размер выкупа — $247 000». Киберкриминалист — о мотивации хакеров и атаках на российские компании

 

Утечки общедоступных баз данных 

 

— За последние несколько месяцев кибератак на российские компании стало больше?

— На самом деле их было много всегда, но в последние месяцы массово вырос интерес к киберугрозам и гораздо больше инцидентов стало попадать в публичное поле. Хакеры, особенно те, которые занимаются хактивизмом, чаще постят информацию в Twitter или на свои сайты. 

Все сервисы и компании, связанные с релокацией, на одной карте

Если же мы говорим про профессиональные атаки, которые совершаются с целью шпионажа или нанесения ущерба, их активная фаза выпала на конец марта-начало апреля. Совокупное число инцидентов за апрель этого года в три раза превышает показатель 2021-го. Сейчас их число возвращается к средним значениям.

— Изменились ли инструменты, которыми пользуются хакеры?

— Важно понимать, что атаки бывают очень разными — например, некоторые DDoS-атаки на инфраструктуру организуются любителями в Telegram-чатах, и присоединиться к ним может любой желающий, используя личный компьютер. Такие «набеги» не подразумевают проникновение в сеть, кражу данных и разрушительные действия. Это скорее хулиганство.

В продвинутом киберпреступном мире вот уже два года растет тренд на атаки с использованием программ-вымогателей.

В конце 2019-го злоумышленники придумали такую технику: сначала распространить вредоносную программу в корпоративной сети, чтобы мотивировать жертву платить, а затем — выложить предварительно выгруженные  конфиденциальные данные компании на специальный сайт в ограниченном объеме.

Это оказывает дополнительное давление на пострадавшую компанию, потому что за утечку таких данных, например, в Европе предусмотрены очень крупные штрафы и санкции.

Потенциальная утечка и последующий штраф пугают западные компании больше, чем непосредственно сбои в сетевой инфраструктуре 

Выкуп же исчисляется, как минимум, десятками тысяч долларов, как максимум — миллионами. Средний размер требуемого выкупа, по нашим данным, составляет $247 тыс.

Этот тренд пришел и в Россию, но в меньшей степени, потому что здесь метод не так эффективен — штрафы за утечку в разы меньше. Публикация «достижений» о взломе российских компаний сегодня является скорее актом хактивизма, к чему регулярно прибегают некоторые хакерские группы.

— Что нам известно о мотивации киберпреступников?

— Заметно больше стало атак с целью финансовой выгоды. Тут роль играет не столько политический контекст, сколько сам факт того, что Россия сейчас во всех заголовках, вырос уровень информационного шума — это позволяет злоумышленникам смешаться с потоком, к ним нет столь пристального внимания. 

Те же операторы программ-вымогателей сейчас не так интересны правоохранительным органам, потому что у них есть много других проблем.

Также участились случаи атак, которые ведутся, чтобы парализовать работу организации. У известной хакерской группы Conti, которая использовала программы-вымогатели, не так давно утекли исходные коды. Группа активистов использовала их, переписала под себя и сейчас активно нападает на российские компании. 

Прямо в записке о выкупе они пишут: «Благодарите ваше правительство за это, нам не нужны деньги, мы просто хотим вам навредить» 

То есть если речь идет об активистах, их цель — как минимум, испортить репутацию, как максимум — получить конфиденциальные данные, связанные с людьми, которые сейчас находятся под санкциями. 

— Что представляют собой прогосударственные хакерские группировки?

— Обычно это реальные госслужащие. Их выбирают очень долго и тщательно, могут брать в разработку с университетской скамьи. Такие люди имеют определенный талант и развивают его. 

Фактически это киберармия, и сегодня она есть почти у каждой страны. Потому что в киберпространстве много чего происходит, и защищать свои интересы в нем необходимо. 

Тактики, техники и процедуры очень схожи с теми, которыми пользуются злоумышленники. Сегодня некоторые компании в России боятся ставить, например, обновления на зарубежный софт, опасаясь «сюрпризов» от западных спецслужб. 

Возможно, у них действительно есть рычаги влияния на каких-то вендоров и они могут загрузить вредоносное ПО с очередным обновлением. А возможно — уже загрузили. Об этом не следует забывать.

— Какие организации обычно становятся мишенью для хакеров?

— Злоумышленников в первую очередь интересуют крупные организации, потому что о них можно сразу написать в Twitter и привлечь внимание. К тому же они хранят много чувствительной информации, утечка которой способна нанести ощутимый ущерб или парализовать работу целого направления.

Однако в зону риска попадают абсолютно все компании, в которых нет адекватной защиты от фишинговых рассылок. 

Утечек будет много, их число будет расти. Ситуация сложная, и многие злоумышленники, которые раньше не интересовались нашей страной, изменили свое отношение. 

Если в компании нет никаких средств защиты, никакой специализированной команды, она гарантированно будет взломана рано или поздно.

— Как технически осуществляется среднестатистическая атака, из каких этапов состоит?

— Сейчас большинство атак — «человекоуправляемые».То есть главным действующим лицом является не программа, как десять лет назад, а так называемый оператор .н получает доступ к скомпрометированной системе,  после этого — осуществляют сбор информации о скомпрометированной инфраструктуре, при необходимости повышают привилегии, получают аутентификационные данные и начинают продвигаться по сети.

Почти на каждом из этапов дальнейшее распространение угрозы можно предотвратить, если организация заранее озаботилась антивирусным или другим специальным ПО. 

Тут важно оговориться, что средства защиты работают, но в текущих реалиях — я имею в виду не последние месяцы, а последние годы — полагаться только на софт нельзя, нужна команда. Хотя бы один специалист по безопасности, который может среагировать вовремя. 

Наш опыт расследования инцидентов показывает, что очень часто средства защиты заказчика сигнализируют о наличии проблем в течение одной-двух недель, но никто не обращает на это внимания. И все это время атака развивается, хотя ее можно было обнаружить и купировать,  предотвратив последствия. 

Cреднее время от получения первоначального доступа до распространения программы-вымогателя — девять дней

Раньше подобные сложные устойчивые угрозы (APT — advanced persistent threat, прим. ред.) исходили в основном от прогосударственных групп, которые занимались шпионажем. С 2016 года появилось большое количество финансово мотивированных ребят, которые стали использовать те же методы. Тогда же произошла волна крупных атак на российские банки. Сегодня эти инструменты доступны и «хактивистам».

Если у вас нет понимания, что и где у вас в системе происходит, — вы никак не защититесь. Расследовать постфактум можно, есть криминалистические методы, которые позволяют получить копию диска или файлов с него, и на основе этих данных конструировать инцидент. Но противостоять злоумышленникам в режиме реального времени могут только специально обученные люди.

— Как выявить инсайдера?

— Весной были единичные случаи, когда обычные сотрудники внезапно, в порыве расстройства и желания навредить своей организации, шли на контакт со злоумышленниками. Как правило, это относится к тем, кто работает за пределами страны.

Бывает, что инсайдером становится «обиженный» сотрудник, которому не заплатили. Самая распространенная история — это когда сотрудник перед увольнением выгружает себе переписку или какие-то файлы из корпоративных систем.

— Как часто их удается привлечь к ответственности? 

— В нашей практике был кейс, когда сотрудника подкупили финансово мотивированные злоумышленники и попросили запустить на компьютере вредоносную программу. Это закончилось уголовным делом — на основе криминалистического анализа получилось реконструировать инцидент и доказать его вину. Но это очень редкий случай.

— Что вы рекомендуете делать клиентам, которые столкнулись с атакой?

— Прежде всего — необходимо привлекать профессионалов, причем чем раньше, тем лучше. 

Что касается выкупа — все зависит от конкретного инцидента. Если бизнес компании построен на ИТ, ее базы данных зашифрованы, а резервных копий нет или они уничтожены, возможности не платить, скорее всего, просто нет. В такой ситуации можно восстановить работу, только заплатив выкуп.

Каждая выплата мошенникам мотивирует их продолжать этим заниматься, и атак становится все больше и больше
Если же есть резервные копии, разумеется, нужно их восстанавливать, но при этом очень внимательно проверять. Потому что они тоже могут быть заражены — так бывает при долгосрочных атаках. 

Работу с последствиями инцидента тоже лучше доверить профессионалам. Важно разобраться, каких средств защиты или специалистов не хватает, укрепить информационную безопасность компании. 

— Как уход иностранных вендоров повлияет на российский сегмент ИБ?

— В России однозначно достаточно собственных средств защиты — мы без проблем можем заместить вообще все зарубежные аналоги. Информационная безопасность в нашей стране активно развивалась, крупные российские компании фактически являются экспортерами технологий. У Group-IB, например, огромное количество клиентов за рубежом. 

Другой вопрос, что придется пройти через переходный период, менять привычки, переходить на другие решения. 

 

 

Фото на обложке: предоставлено героем

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Autodesk уволит сотрудников в России и закроет юрлицо до конца лета
  2. 2 Кофейни нового Starbucks будут называться Stars Coffee — «Москва 24»
  3. 3 Nexters продал российский бизнес за 500 рублей
  4. 4 Датский производитель пива Carlsberg понес $630 млн убытков из-за ухода из России
  5. 5 Запреты Rutube, полуфабрикаты для пиццы Novikov Group: главные новости 17 августа
FutureFood
Кто производит «альтернативную» еду
Карта