Примечание редактора: нельзя отрицать, что программы-вымогатели в настоящее время приносят киберпреступникам огромные доходы.
Некоторые группы, стремящиеся разбогатеть, агрессивно раздвигают границы. Они повышают свои требования до семизначных или восьмизначных сумм, угрожая опубликовать данные в Интернете, если платежи не будут произведены, и нацелены на больницы и другие уязвимые организации.
Одна из таких групп, получившая известность благодаря своей смелой и прибыльной тактике, – это REvil, также известная как Sodinokibi. Группа поставляет «программы-вымогатели как услугу». Разработчики продают вредоносное ПО партнерам, которые используют его для блокировки данных и устройств организации.
Помимо публикации данных о жертвах в Интернете в тех случаях, когда компании не удовлетворяют требованиям, REvil привлекает внимание своими попытками вымогательства у тогдашнего президента Дональда Трампа и утверждениями о получении 100 миллионов долларов дохода от своей деятельности. По словам представителя REvil, который использует псевдоним Unknown, у группы большие планы на 2021 год.
Некоторые из заявлений Unknown, такие как наличие аффилированных лиц, имеющих доступ к системам запуска баллистических ракет и атомным электростанциям, кажутся невероятными — пока вы не прочитаете отчеты, которые заставят их казаться устрашающе правдоподобными. Reсord не может проверить правдивость этих утверждений. Unknown недавно поговорил с экспертом по анализу угроз из компании Recorded Future Дмитрием Смилянцом об использовании программ-вымогателей в качестве оружия, о невмешательстве в политику, экспериментах с новыми тактиками и о многом другом. Интервью было проведено на русском языке, переведено на английский с помощью профессионального переводчика и отредактировано для ясности.
Дмитрий Смилянец: Unknown, как вы решили заняться шантажом?
UNK: Если честно, это было очень давно. С 2007 года, когда появились винлокеры и смс. Уже тогда это приносило неплохую прибыль.
ДС: Вы внесли депозит в размере 1 миллиона долларов на хакерском форуме и упомянули о доходе в 100 миллионов долларов – учитывая, что вы получаете платежи в криптовалюте, сегодня у вас, вероятно, есть полмиллиарда долларов. Сколько будет достаточно, чтобы вы отказались от программ-вымогателей?
UNK: Вы все правильно посчитали. Депозит был снят именно из-за курса. Лично для меня нет потолка суммы. Я просто люблю заниматься этим и получать от этого прибыль. Денег никогда не бывает слишком много, но всегда есть риск их нехватки. Хотя, если говорить о рекламодателях, один посчитал, что 50 миллионов долларов достаточно, и ушел на пенсию. Однако через четыре месяца вернулся — денег оказалось мало. Подумай об этом.
ДС: Ранее вы говорили, что остаетесь аполитичными и у вас чисто финансовая мотивация. Но если вы решите, что заработали достаточно денег, может ли ваша точка зрения измениться и вы решите повлиять на геополитику?
UNK: Я действительно не хочу быть разменной монетой. Мы замахнулись на политику, и ничего хорошего из этого не вышло – только потери. При нынешних геополитических отношениях мы хорошо зарабатываем и без какого-либо вмешательства.
ДС: Что делает группу REvil такой особенной? Код? Аффилированные лица? Внимание СМИ?
UNK: Думаю, все это работает вместе. Например, это интервью. Кажется, зачем это вообще нужно? С другой стороны, лучше его дадим мы, чем наши конкуренты. Необычные идеи, новые методы и репутация бренда — все это дает хорошие результаты. Как я уже сказал, мы создаем новую ветку разработки ПО для вымогательства. Если посмотреть на конкурентов, то, к сожалению, многие просто копируют наши идеи и, что самое удивительное, стиль текста наших сообщений. Это хорошо — они пытаются показать, что они не хуже нас, пытаются достичь нашего уровня и даже стремятся в чем-то превзойти. Например, с этими версиями Linux и так далее. Но это временно. Конечно, мы над всем этим тоже работаем, но с одной оговоркой – все будет намного лучше. Поэтому чуть медленнее.
REvil использует свой «Happy Blog» в даркнете для рекламы аукционов данных жертв программ-вымогателей, не оплативших требования.
ДС: Криптография на основе эллиптических кривых (ECC) была действительно хорошим выбором [примечание редактора: ECC имеет меньший размер ключа, чем система открытых ключей на основе RSA, что делает ее привлекательной для аффилированных лиц] чем еще вы гордитесь, какой частью кода? Как вы решаете, когда пора добавлять в код новые функции?
UNK: поиск по IOCP, обратное соединение позаимствовано у крабов [кардеров], система защиты на стороне сервера – преимуществ много, лучше почитать обзоры. Лично мне система шифрования очень нравится. Получилось почти идеально.
ДС: Меня впечатлило разнообразие упаковщиков и шифровальщиков, которые я обнаружил в вашем вредоносном ПО. Вы продаете их другим? Однажды я видел, как один из них использовался в образце вредоносной программы Maze. Вы их продаете или один из ваших сотрудников перешел к конкуренту?
UNK: Партнеры часто переходят, и из-за этого такое разнообразие.
ДС: Павел Ситников сказал, что вы купили код GandCrab у Максима Плахтия, это правда?
UNK: Это правда, что мы его купили, но имена и прочее нам неизвестны.
ДС: Вы верите, что программы-вымогатели — идеальное оружие для кибервойны? Вы не боитесь, что однажды может начаться настоящая война?
UNK: Да, это оружие может быть очень разрушительным. Что ж, я знаю по, что ряд аффилированных лиц имеют доступ к системе запуска баллистических ракет, одно — к крейсеру ВМС США, третье — к атомной электростанции, а четвертое — к оружейному заводу. Вполне реально начать войну. Но оно того не стоит — последствия невыгодны.
ДС: Каких еще регионов, помимо СНГ [в основном состоит из постсоветских республик], вы стараетесь избегать? Какие организации никогда не платят?
UNK: Всех стран СНГ, включая Грузию и Украину. В первую очередь из-за геополитики. Во-вторых, из-за законов. В-третьих, некоторых избегаем из-за патриотизма. Очень бедные страны не платят: Индия, Пакистан, Афганистан и так далее.
ДС: Вы ранее упоминали, что вы и ваши партнеры понимаете риски выезда за границу и не путешествуете. Как вы думаете, может ли подуть «ветер перемен» и местные правоохранительные органы обратят внимание на ваши операции?
UNK: Если мы займемся политикой, то да. Если мы посмотрим на страны СНГ, то да. Во всем остальном мы остаемся нейтральными.
ДС: Преступники старой школы вызывают какие-то проблемы?
UNK: Нет.
ДС: Какова ваша обычная реакция, когда вы видите, что банда вымогателей или ее филиал получают обвинения или арестовываются? Netwalker и Egregor сократили свои операции после рейдов, как вы к этому относитесь?
UNK: Нейтрально. Это нормальный рабочий процесс. В связи с закрытием Maze у нас только выросло число партнеров. Так что для нас, я бы сказал, это в некотором смысле позитивно.
ДС: Каково максимальное количество аффилированных лиц, сотрудничавших с вами одновременно?
UNK: 60.
ДС: Они уходят из-за того, что завязывают с программами-вымогателями, или потому, что они начинают работать с другими программами, чтобы получить более выгодные тарифы? Сталкиваетесь ли вы с проблемой, когда партнер переходит к конкуренту?
UNK: Есть два варианта. 30% уходят, потому что достаточно заработали. Но, естественно, они всегда рано или поздно возвращаются. Во втором случае да, они переходят к конкурентам, которые демпингуют (до 90% и т.п.). Конечно, это неприятно, но это конкуренция. Это значит, что мы должны сделать так, чтобы люди вернулись. Дать им то, чего не дают другие.
ДС: Некоторые группы отдают процент от заработка на благотворительность. Каково ваше мнение по этому поводу? Кому бы вы хотели пожертвовать миллион?
UNK: Бесплатные проекты по разработке средств анонимизации.
ДС: Как изменилось ваше взаимодействие с организациями-жертвами с начала пандемии?
UNK: Многое изменилось. Ощущается кризис, они не могут платить те суммы, которые были раньше. За исключением фармацевтических компаний. Думаю, им стоит уделять больше внимания. У них все в порядке. Нам нужно им помочь.
ДС: Ваши операторы нацелены на организации, которые имеют киберстраховку?
UNK: Да, это одно из самых вкусных блюд. Особенно если сначала взломать страховщиков – получить их клиентскую базу и работать целенаправленно. А после того, как пройдемся по списку, можно взяться и за самого страховщика.
ДС: Как вы относитесь к участникам переговоров о программах-вымогателях? Легче ли иметь дело с профессионалами? Они помогают или усложняют задачу?
UNK: 70% нужны только для того, чтобы сбить цену. Очень часто они усложняют задачу. Ну, например, у компании выручка 1 миллиард долларов. У них вымогают 1 миллион долларов. Приходит переговорщик и говорит: нам все равно, больше 15000 долларов мы не дадим. Снижаем цену до 900 000 долларов. Он предлагает 20 000 долларов. Что ж, тогда мы понимаем, что разговор с ним бессмыслен, и начинаем публиковать данные, чтобы владельцы сети дали ему по голове за такие переговоры. И, конечно же, после таких уловок цена только возрастает. Вместо 1 миллиона долларов заплатят полтора. Никто не любит торгашей, особенно с понтами. Так что чаще всего они причиняют больше вреда. Они помогают только при покупке BTC или Monero. Все остальное – во вред.
ДС: Вы рекомендуете скомпрометированным компаниям каких-либо конкретных переговорщиков или они ищут их самостоятельно? Не у всех есть 100 BTC для выкупа данных, и их не так уж просто получить в короткие сроки.
UNK: Мы пишем приличным посредникам, чтобы они знали цель, и могли наладить диалог. Хорошим посредникам мы даем хорошие скидки, чтобы они получали небольшую прибыль, а компании платили меньше. А что касается сроков — мы всегда можем выделить дополнительное время. В общем, если есть понимание, что надо платить, но не так много, мы найдем общий язык. Но если мы получаем бредовые сообщения типа «Денег нет» или «Мы заплатим одну десятую», вам некого винить, кроме себя.
Ссылки на атаки REvil собраны из частных и подпольных источников. Любезно предоставлено Recorded Future.
ДС: Вы сказали, что хотите оказывать дополнительное давление с помощью DDoS. Насколько эффективна эта схема?
UNK: Используем не часто, в отличие от звонков. Обзвон дает очень хороший результат. Обзваниваем каждую цель, а также их партнеров и журналистов – давление значительно возрастает. И после этого, если вы начнете публиковать файлы, ну, это просто великолепно. Но покончить с DDoS — значит убить компанию. В прямом смысле. Я думаю, что мы возьмемся за преследование генеральных директоров и / или основателей компаний. Личный OSINT, буллинг. Думаю, это тоже будет очень интересный вариант. Но жертвы должны понимать, что чем больше ресурсов мы потратим до выплаты выкупа – тем больше придется платит.
ДС: Расскажи мне секрет.
UNK: В детстве я рылся в помойках и курил окурки. Я ходил 10 км в одну сторону до школы. Я носил одну и ту же одежду шесть месяцев. В юности в коммуналке не ел по два-три дня. Теперь я миллионер.
bungu
Не знаю что сказать про этическую сторону почти дружеской беседы с подобными «разработчиками», но в целом конечно интересно узнать про эту сферу, технологии и подходы. Не исключено что данные этого товарища рано или поздно станут жертвой его же ПО
Goupil
Он и сам может стать жертвой тех, кто его прикрывает — я догадываюсь из какой он страны, и уверен что ему власть имеющие оказывают всесторонюю поддержку, что бы он и дальше «работал» там, где работает. Но для его хозяев все их подчиненные — пешки, даже если у них в битках сотни миллионов. Именно поэтому он несколько раз говорит что «аполитичен». Пешкам не дозволено ходов в сторону, только по заданой прямой.
Любопытен другой аспект — судя по всему он вышел из крайней нищеты и это сформировало его взгляд на мир. Он не играет Робин Гуда, он абсолютно аморален. Наверно хороший довод в борьбе против нищеты, чтобы заводилось поменьше таких как он.
0xd34df00d
Очень часто говорят, что программисты и прочие успешные товарищи просто не способны понять, каково тем, кому повезло меньше, и войти в их положение. Может, вы просто неспособны понять его мораль?
Ну и, к слову, я за год отсутствия живого общения с людьми потерял остатки эмпатии и морали (если мышцы не качать — они атрофируются). Увы, я уже существую — меня в лучше в трудовой лагерь на перевоспитание отправить, или сразу умертвить?
М, хороший выбор слов. Надеюсь, вы предпринимаете все должные меры, чтобы у вас не завелись дети.
engine9
Человеку, чтобы оставаться «хорошим» в своей картине реальности, нужно как-то рационализировать собственное поведение. Например, некоторые маньяки, убивающие женщин одержимы сверхидеей мести «всем падшим и неверным». Человек, который идёт на преступление, он себя субъективно должен считать правым. Даже гопникам, чтобы докопаться нужен какой-то формальный повод: неправильная длина волос или одежда не того цвета.
Человек выше верную мысль говорит, бедность и насилие порождает озлобленных людей, которые могут мстить обществу просто за всё плохое.
Например, всему женскому роду, за усмешки в школе и т.п. То есть это универсальный аргумент к тому, что снижая насилие и зло в обществе мы получаем общее благо в виде более этичного и дружелюбного общества в будущем.
0xd34df00d
Вы ведь тут затронули правильную тему: в своей картине. У вас одна картина, у меня другая, у того чувака третья. Никакая из них не является априорно лучшей.
По-моему, человек выше сам довольно озлобленный. Если я правильно парсю коннотации, конечно. Собственно, именно поэтому я про незаведение у него детей и написал.
Ну и да, я последнее время ловлю себя на том, что, гм, скажем так, не люблю общество. Бедность и насилие в детстве у меня тоже были, но из общих соображений наиболее вероятным является не это (а то, что я с февраля того года живу без живого общения, например). Ну и что, вероятно, я слишком много вместо этого общался с программами — очень, иррационально сильно (что довольно иронично) выбешивает и раздражает, что эти сраные людишки не могут быть такими же логичными, как миашина. То, что я пишу, принял бы любой тайпчекер (а с ними я по большей части и общался последний год, и это так приятно, когда ты пишешь терм, он должен быть правильного типа, и он оказывается правильного типа!), так хренли они спорят? Они сломаны, надо отдебажить. Или просто заменить на несломанных, рациональных, разумных. И я сломан, меня тоже надо заменить.
И стало очень бесить, что эти люди минусуют карму, например. Раньше вообще пофиг было, а теперь очень важно. Ведь я же пишу какие-то вещи, а люди просто молча тыкают. Нет бы дать ответ, как тайпчекер, так они просто тыкают и проходят мимо.
Golex
В общем я не уверен в точности парсинга коннотаций. При желании можно обсудить тут или в ЛС.
PS
Была бы карма, тыкнул в плюсик бы.
engine9
У людей свои, весьма предсказуемые, паттерны поведения и реакции, основанные на эмоциях и интерпретации событий через культурные установки, особенности личной истории.
Раздражение берётся из за того, что вам кажется, что люди могли бы быть рациональными, но «просто» не делают этого. Но это большая иллюзия, т.к. люди ведут почти всегда так как их внутренняя система оценивает оптимальное поведение. Даже если это поведение ведущее прямиком в могилу, например попытка обгона длинного камаза на скользкой дороге.
Короче, я хотел сказать, что именно нереалистичные ожидания из за поверхностного восприятия окружающих людей и есть причина «бесячки».
Некоторые люди напрочь лишенные возможности к эмпатии при обучении научаются «читать» эмоции других людей и предсказывать их поведение. Просто нужна заинтересованность и спокойствие исследователя. Простите за эти непрошеные поучения, но вдруг пригодится.
DoubleW
Это ты просто избалованный своей нишей) писал бы клиентский код, сатанел бы от того что вьюшка не лаяутится или жсон не парсится — и понял бы что люди не шибко хуже :)
Junecat
Основы морали — это хорошо знакомые нам паттерны. Для того, чтобы в каждой ситуации не нужно было заново думать — у нас есть «общие правила», котрые позволяют в массе ситуаций решать «не вдаваясь в детали». Нужно заметить, что мораль сильно зависит от места, времени и окружения.
Так что если у кого то возникли сомнения в том, что мораль атрофировалась — можно, просто как перед собеседованием, повторить паттерны :-)
Goupil
Моя мысль проста — нищета и унижение в детстве ломают людей, лишают их человеческого. То что не убивает не делает сильнее. Психопаты, опасные для общества (а умные психопаты опасны вдвойне) будут рождаться всегда, но если обеспечить людям хотя бы минимально приемлимый уровень существования, чтобы они не рылись в помойках и не курили бычки, то их станет сильно меньше.
Согласитесь, люди типа интервьюируемого чрезвычайно опасны для общества, куда опаснее чем торговцы наркотиков или продажные чиновники.