Всем привет! Как обычно, публикуем дайджест запомнившихся событий за ушедший месяц. Сегодня отложим в сторону набившие оскомину новости с фронтов кибервойны и заглянем в киберпреступное закулисье. В сегодняшнем выпуске новые рекорды по краже криптовалют, взлёты и падения противоречивой группировки Lapsus$, громкие аресты злоумышленников по всему миру и другое. Добро пожаловать под кат!

Взлёты и падения Lapsus$

Март запомнился ворохом противоречивых новостей о группировке Lapsus$. На одной чаше весов впечатляющие взломы таких айти-гигантов как Nvidia, Microsoft, Okta, консалтинговая фирма Globant. На другой нулевой опсек группировки, приведший к аресту нескольких её предполагаемых членов в Лондоне.

Так, в начале марта продолжение получила история со взломом Nvidia. Хакеры начали использовать слитые Lapsus$ сертификаты, чтобы с их помощью маскировать загружаемую в Windows малварь. Злоумышленникам не мешало даже то, что сертификаты были истёкшими. Трудностей к решению проблемы добавило то, что Microsoft не мог просто добавить краденые сертификаты в список отозванных — это заблокировало бы установку и подписанных ими драйверов Nvidia. В качестве решения предложили вручную запретить установку левых драйверов через WDAC.

Взломы подтвердили также Microsoft и Okta. Первые заявили, что ничего конфиденциального в слитых данных не было, только код для таких проектов, как Bing, Cortana и Bing Maps. C Okta же всё может быть гораздо серьёзнее. ИБ компании пока затрудняется оценить масштабы утечки, и, судя по скринам от Lapsus$, доступ к серверам у них был ещё с января; хакеры заявляли об украденных данных клиентов. Сначала компания ушла в тотальный режим damage-control и всё отрицала, но в конце марта принесла извинения. Представители Okta заявили, что сокрытие произошедшего ещё в январе взлома было ошибкой, и масштабы оказались серьёзнее ими предполагаемых. Вся эта история привела к падению акций компании почти на двадцать процентов.

И наконец, в последние дни марта о масштабной утечке данных сообщила крупная консалтинговая компания от мира айти Globant. И ущерб, как оказалось, был крайне серьёзен. Семьдесят гигов исходников, включая данные клиентов (среди которых около 150 записей из БД, репозитории и всевозможные приватные ключи), плюс полный доступ к нескольким ресурсам компании. Репутационный ущерб для Globant и возможные издержки для их клиентов пока сложно оценить.

В то же время все эти впечатляющие взломы соседствуют с нулевыми представлениями Lapsus$ о сокрытии своих действий. Так, специалисты отметили многочисленные ошибки группировки, которые в итоге привели к аресту семерых её предполагаемых участников в Лондоне. И ими оказались… подростки от 16 до 21 года. В их числе якобы и шестнадцатилетний лидер группировки. С 300 биткоинами на счету, что эквивалентно 14 миллионам долларов. И с аутизмом. 

Что ждёт интригующих ребят из Lapsus$ дальше, пока сказать сложно. Новости о взломе Globant, например, появились уже после упомянутых арестов. Специалисты считают, что целью группировки сейчас является не материальное обогащение, а зарабатывание себе имени. Смысл послания, наверняка, дошёл до многих, но с нулевым опсеком остающихся на свободе ребят раньше успеют пересажать. Что ж, будем и дальше следить за развитием событий.

Новый рекорд кражи криптовалют

Уходящий месяц принёс нам и новые рекорды. Некий хакер атаковал сайдчейн Ronin, используемый в основе NFT-игры Axie Infinity, и украл криптовалюту на 625 миллионов долларов. Судя по всему, это наиболее крупное хищение криптовалютных средств в истории децентрализованных финансовых систем. Прошлый рекорд от августа 2021-го года держался на уровне 611 миллионов.

Были украдены 173,600 ETH и 2,5 млн USDC-токенов двумя транзакциями — первая, вторая. Хакер смог установить контроль над 5 из 9 валидаторов, подтверждавших транзакции в сети, что и позволило ему вывести крипту. Четыре валидатора принадлежали Sky Mavis — компании, которая владеет Ronin — а пятый он извлёк из сторонней базы данных с помощью удалённого вызова процедур. Атака случилась ещё 23 марта, но узнали о ней только под конец месяца: пользователь безуспешно пытался вывести 5000 ETH. Позже оказалось, что хакер ещё и зашортил токены проекта после взлома — ожидал, что атаку быстро заметят, и цена полетит вниз. Увы, слава пришла только через неделю.

Большая часть украденных средств пока так и остаётся на балансе нового крипторекордсмена. В последние дни он начал выводить награбленное: например, здесь и тут. Около 2000 ETH ($7 млн по курсу) уже отправилось в отмывальщик Tornado.Cash, а небольшие суммы путешествуют через множество адресов. Как это обычно бывает с крупными атаками, в комментариях под адресами хакера собрались толпы несчастных, ждущих подаяний от киберпанкового Робина Гуда. 

Сейчас Sky Mavis активно сотрудничает со спецслужбами с целью привлечения злоумышленника к ответственности.

Громкие аресты, товарищ!

Март запомнился и чередой арестов заметных фигур от мира киберпреступности. Что примечательно, все истории так или иначе связаны с выходцами с постсоветского пространства.

Так, мы продолжаем следить за падением группировки REvil. В США экстрадировали одного из связанных с ней хакеров, гражданина Украины Ярослава Васинского. Он предстал перед судом, и бедолаге грозит до 115 лет тюрьмы. Украинский умелец был вовлечён во взлом корпоративных сетей, в числе предъявленных ему обвинений нашумевшая атака на IT-фирму Kaseya. Эксперты надеются, что арест Васинского облегчит работу MSP-сервисов, так как предположительно именно он представлял для них серьёзную угрозу. Дальнейшая судьба REvil пока неизвестна, и её ключевые члены, наверняка, остаются на свободе. Можно ожидать, что группировка всплывёт под новым именем и продолжит испытывать корпоративные сети на прочность. 

Эстонец Максим Березан с броским псевдонимом «Албанец», ответственный за 13 рансомварных атак на $53 миллиона, в конце марта отправился в США в тюрьму на 5 с лишним лет. Как сообщается, он был активным участником форума DirectConnection, который закрылся в 2015-м году. Березан специализировался на дропах и выводе денег с украденных счетов. Специализировался весьма успешно, судя по тому, что у него конфисковали две Porsche и крипты с наличкой на почти 2 миллиона долларов.

Кроме того, ФБР объявило в розыск нашего соотечественника, Игоря Дехтярчука, как предполагаемого владельца площадки по продаже украденных данных. Этот персонаж действовал под псевдонимом Floraby и продвигал площадку BAYACC, через которую за рубль торговались слитые аккаунты различных компаний, включая eBay и PayPal. Составлявший конкуренцию крупным площадкам, таким как SlilPP, BAYACC теперь оффлайн, а его владелец, видимо, в бегах.

И наконец, Европол сообщил об аресте более ста человек в Литве и Латвии в связи с крупной мошеннической схемой формата липовый инвестиционный колл-центр. Мультиязычная группировка, насчитывавшая двести подставных брокеров, звонила жертвам с предложениями инвестировать в крипту, валюту и товарные активы. Оборот впечатляющий — как минимум три миллиона евро в месяц. Сколько начинающих польских бизнесменов пали жертвой мошенников, не сообщается.

Conti из кибергорода мечты

Не так давно в сеть утекла переписка рансомварь-группировки Conti. Как оказалось, в рядах базирующейся на территории России группы хакеров был украинский специалист, видимо, решивший своими сливами вывести из игры ввязавшуюся в события-которые-нельзя-называть группировку. И что сказать, амбициям ребят можно только позавидовать. 

Что делают непритязательные преступники, укравшие 180 миллионов долларов? Спускают на красивую жизнь, которую не додал им безжалостный мир позднего капитализма. А что планируют хитрецы из Conti? Разрабатывают свою соцсеть с расчётом на миллион пользователей, делают блокчейн-платформу для крипты под названием «Бабло» для отмыва денег и даже подумывают открыть онлайн-казино. Планы весьма впечатляющие, амбициозным ребятам с большими мечтами из кибергорода мечты для полноты картины не хватает разве что аллюзий на княжество Силенд и грёз о построении первой пиратской криптореспублики. Человек может мечтать!

Возвращаясь же с небес на землю, можно отметить, что используемый Conti софт не то чтобы соответствовал их амбициозным планам. В марте украинский крот также слил в сеть свежие исходники группировки, включая декриптор. Изучившие код спецы пишут, что третья версия используемого Conti софта оказалась сильно хуже прежней. Поляки из ИБ-журнала Payload считают, что дело в сменившемся разработчике, и иронично предлагают откатиться к предыдущей версии.

Из любопытного, ответственный за сливы рансомварь-Штирлиц утверждает, что на территории Украины его теперь разыскивают аж пророссийские спецслужбы. Достоверность подобных заявлений проверить невозможно, но для большей атмосферности эту занятную новость завершает такой вот гибсоновский вайб.

Айпифускация из улья

При анализе рансомвари от группировки Hive специалисты обнаружили новый, весьма занятный метод запутывания кода.

Безобидный список IP-адресов после конвертации в бинарник превращается в шелл-код, через который подтягивается одним из двух методов полезная нагрузка Cobalt Strike. Этот метод уже окрестили IPfuscation, на наш язык это можно переложить разве что неблагозвучными терминами айпифускация или айпипутывание для большей лубочности. По ссылке желающие могут ознакомиться с техразбором используемых манипуляций. 

Из всего этого напрашивается вывод, что от сигнатурного обнаружения в наши дни толку всё меньше. Подобные угрозы требуют более изощрённых контрмер, будь то поведенческий анализ или применение ИИ. Что ж, как поэтично пишут в Bleeping Computer, приподнимем вуаль над айпипутыванием вместе!