12 мая эксперты «Лаборатории Касперского» опубликовали большой отчет об эволюции атак с шифрованием данных и последующим вымогательством. В статье прежде всего уделяется внимание организации этого криминального бизнеса и рассматриваются атаки на крупные компании. Одним из явных трендов года стала охота преступных группировок за «крупной дичью» — сравнительно большими организациями, способными выплатить серьезный выкуп в цифровой валюте. Отчет публикуется на фоне ежедневных новостей об атаках на бизнес, включая такие громкие события, как атака на компанию Colonial Pipeline.

Самое важное, что нужно знать о таких группировках: они сложно устроены и не работают автономно. От этой угрозы не получится избавиться, даже если найти и арестовать организаторов отдельной кампании. Экосистема перестанет работать, только если лишится доходов, то есть когда пострадавшие перестанут платить выкуп. Исследование приводит примеры набора участников в новые организации и указывает типичные роли: продавцы учетных данных, разработчики вредоносного ПО, аналитики, ответственные за отмывание криптовалюты.

Самый актуальный миф, который опровергается в статье, — это утверждение, что цели атак выбираются заранее. На самом деле их находят случайным образом. Чаще всего владельцы бот-сетей и брокеры, продающие доступ к скомпрометированным компьютерам и серверам, выставляют информацию о потенциальных жертвах, и цели определяются «из наличия». Здесь есть важная рекомендация для IT-безопасников: нужно вовремя обнаруживать отдельные инциденты, связанные с проникновением в защищенный периметр или заражением вредоносным ПО. Между этим «первым звонком» и полномасштабной атакой возможен временной лаг, позволяющий избежать серьезных последствий.

Исследование в подробностях описывает деятельность двух крупных группировок вымогателей, REvil и Babuk. Помимо прочего, отмечается более агрессивное давление на потенциальных жертв, мотивирующее быстрее выплачивать выкуп. Для этого в даркнете создаются веб-сайты с примерами украденных данных, информация об утечках «сливается» в СМИ. И наоборот, для облегчения «клиентского опыта» улучшается поддержка жертв — например, создается отдельный чат для общения с вымогателями. В предыдущей публикации экспертов «Лаборатории Касперского» по теме «пользовательских» вымогателей отмечается снижение количества широкомасштабных атак. Новый отчет показывает, куда переместилось внимание киберпреступников, и подробно описывает превращение криминальных операций в сложный и разветвленный бизнес.

Что еще произошло


Атака на оператора нефтепровода Colonial Pipeline в США привела к кратковременному прекращению поставки нефтепродуктов на восточном побережье страны, вызвала панику на автозаправках и, судя по всему, в дальнейшем приведет к изменениям в мерах по борьбе с киберпреступностью. На прошлой неделе вышло много публикаций по этой атаке, но далеко не вся информация подтверждена. Вот наиболее интересные статьи:

  • Анализ деятельности группировки DarkSide, взявшей на себя ответственность за атаку, от Брайана Кребса (Brian Krebs). Ранее в Твиттере он то ли в шутку, то ли всерьез указывал на очевидный факт относительно вредоносных программ-шифровальщиков с русскоязычными корнями: они избегают системы с кириллической раскладкой.


Локализация отмечена и в отчете «Лаборатории Касперского», но в ином контексте: русскоязычные организаторы атак стараются не работать с англоязычными партнерами, опасаясь контратак или утечки информации. Для теста на знание языка в одном примере предлагается использовать местный фольклор.

  • Разбор технических особенностей вредоносного ПО, используемого DarkSide в предыдущих атаках.

  • Неподтвержденная официально информация, согласно которой Colonial Pipeline заплатила вымогателям пять миллионов долларов. Здесь утверждается, что организаторы атаки потеряли доступ к своей инфраструктуре, а также к криптокошелькам.
  • Анализ движения средств в Bitcoin-кошельках, предположительно принадлежащих DarkSide.

Помимо этого инцидента «ИБ-жизнь» идет своим чередом. Большим событием стало исследование об уязвимостях в устройствах и самом протоколе Wi-Fi. Коллекция атак Fragattacks (сайт проекта, обсуждение на Хабре) использует уязвимости, не зависящие от типа шифрования (вплоть до WPA3), и может быть задействована для кражи данных или перенаправления пользователя на вредоносные ресурсы.

Исследователь из Швеции Понтус Джонсон (Pontus Johnson) нашел уязвимость в концепции универсальной машины Тьюринга, предложенной еще в 1967 году (статья The Register, исследовательская работа). В ходе этого исключительно теоретического упражнения был найден способ запуска произвольного кода. Причина: отсутствие валидации ввода.

Предложен способ передачи произвольных данных и получения информации с устройств на базе iOS и MacOS. Используется уязвимость протокола Bluetooth и особенности технологии Find My для поиска потерянных девайсов.

MSI предупреждает о поддельных сайтах, распространяющих вредоносное ПО под видом популярной утилиты Afterburner для разгона видеокарт.