Всем привет! Закрываем год нашим традиционным дайджестом новостей. Декабрь выдался богатым на инфоповоды о спайвари: засветилась Pegasus по делу Whatsapp, её конкурент Paragon выкуплен США, развернулся очередной скандал в Сербии, и обнаружили неизвестное китайское шпионское ПО.

Помимо этого, оценки утечек российских данных оказались неутешительными, как и суммы украденных за 2024-й криптовалют. Cl0p взломала очередной менеджер файлов с далеко идущими последствиями, а пользователей платформы защищённой связи Matrix Европол принудительно вывел в суровую реальность. Об этом и других интересных события последнего месяца уходящего года читайте под катом!

Утечки российских данных: дно – это новый фронтир

По итогам года у нас неутешительная статистика: в даркнете и Телеграме доступны данные 59% российских компаний. Таковы реалии на конец 2024-го. В этом году число корпоративных утечек данных достигло 16 тысяч, что на 60 процентов больше, чем годом ранее.

В топе по-прежнему фишинг — на него пришлись 44% успешных атак, и в большинстве случаев письма маскируют под счета и платёжные документы, порою со взломанных аккаунтов подрядчиков. Самыми атакуемыми остаются компании в сфере финансов, IT и недвижимости. При этом по нашим данным весной 2024-го число атак по сравнению с тем, что было годом ранее, выросло в 80 раз.

Пока бизнес неспешно познаёт чудесный мир инфобеза и ограничений, которые накладывают наличие опытных и мотивированных злоумышленников, цифры растут в геометрической прогрессии. В какой-то мере это можно назвать побочными последствиями геополитических расколов на киберпреступной сцене СНГ, вольно и невольно подавшейся в хактивисты за последние три года. Хоть исследовательские работы по мотивам пиши, только научного руководителя под такое вряд ли найдёшь.

Задел на 2025-й: Cl0p взламывает Cleo

Cl0p закрывает уходящий год на новом масштабном взломе: очередная скомпрометированная платформа для передачи файлов — специализация группировки в последнее время, очередной длинный список пострадавших компаний. Злоумышленники угрожают опубликовать названия 66 организаций, если они не выйдут на связь. С учётом того, что выходить людям хочется только из офиса и до января, получилось неловко.

В этот раз Cl0p взломала софт от Cleo. В октябре разработчик исправил нулевой день, который эксплойтили для установки бэкдоров. Увы, исправил неудачно — патч проблему не решил, эксплойт был по-прежнему возможен. Пару недель назад уязвимость получила новую CVE и исправление, но запоздало. По компаниям уже прошлись инфостилером.

Пока число пострадавших неизвестно, но Cleo утверждает, у неё больше 4,000 клиентов. Так что если Cl0p вышла на повторение истории с MOVEit хотя бы на минималках, можно уже сейчас говорить, что праздничный сезон для множества компаний не задался. Только жертвы прежних атак могут выдыхать — от них группировка пообещала отстать, заявив об удалении данных прежних атак с целью фокусироваться на работе по взлому Cleo. Остальным соболезнуем.

Криптокражи 2024-го и ударный труд северокорейских стахановцев

2024-й год закрываем с новыми рекордами и от мира криптокраж: число зафиксированных за год атак составляет 303. Суммарно украдены $2,2 миллиарда, что всё же блекнет в сравнении с урожайным для северокорейского бюджета и не только 2022-м, закрытым на впечатляющих $3,7 миллиарда.

Компрометация приватных ключей по-прежнему правит бал: почти половина средств была стянута за счёт низкой культуры базового инфобеза у держателей солидных криптокубышек. Год также отметился возвращением атак по централизованным платформам: на взломы бирж WazirX и DMM Bitcoin пришлись полмиллиарда украденного. Последняя по итогам закрылась.

При этом активность криптостахановцев из КНДР таинственным образом резко снизилась в середине года, что породило спекуляции с геополитическим душком. Не случись этого, год мог бы быть беспрецедентным и по сумме краж. Но стратегические братушки свой персональный рекорд всё же установили: ими экспроприированы $1,3 миллиарда, что в два раза выше результата в 2023-м. Партия гордится тобой, IT-солдат! Ты здание философия идеи чучхе!

К вопросу о северокорейцах. В декабре стало известно, что их схема по трудоустройству в западные компании принесла в бюджет КНДР не менее $88 миллионов за последние шесть лет. К такому выводу пришёл Госдеп, делящийся подробностями хитрой киберпреступной аферы.

Северокорейские засланцы работали из двух подставных фирм. В них сидели больше 130 человек, внутри компании, собственно, их и именовали «IT-солдатами». Задача северокорейского IT-солдата — зарабатывать $10 тысяч в месяц на благо партии и стягивать проприетарный код для шантажа.

ФБР же предупреждает, что это лишь верхушка айсберга: КНДР якобы обучила тысячи айтишников под эту схему, и они грозят американским компаниям каждый день, а случаи кражи и слива данных учащаются. Превращение КНДР в лихую киберпанковскую Тортугу — пожалуй, самое забавное событие в индустрии за последние годы.

Аресты и обвинения киберпреступникам

В ушедшем месяце США предъявили обвинения разработчику LockBit. Гражданин России и Израиля Ростислав Панев участвовал в разработке и администрировал инфраструктуру группировки. Минюст США добивается его экстрадиции после ареста в августе.

В отличие от других кейсов формата «А того ли они взяли?» с Паневым всё просто: у него на устройствах обнаружили учётку от репозитория с исходниками нескольких версий билдера LockBit. В нём же был исходный код StealBit, утёкшие исходники Conti, на основе которых собрали LockBit Green… В общем, полный набор.

Помимо этого, Панев был на связи с товарищем Хорошевым и в переписке обсуждал разработку вредоноса и панели управления. И на допросах израильской полиции он якобы вину уже признал. Так что год для LockBit начался не очень, продолжился ещё хуже и заканчивается тоже на минорной ноте. Финальный цикл жизни рансомварь-операции — он такой. Одним словом депрессивный.

При этом группировка рассчитывает на триумфальное возвращение в 2025-м. Под Новый Год принято мечтать о грядущем. Мечтают и остатки LockBit: о люксовых машинах и доступных женщинах. Точнее о том, что обещания оных привлекут партнёров под релиз энкриптора LockBit 4.0. Назначен он на 3 февраля, заявлен был ещё в начале года, а от репутации группировки осталось немногое. И рансомварь-сцену под себя в образовавшемся в этом году вакууме подмяла под себя RansomHub. Её и считают ключевой угрозой на следующий, так что шансы вновь стать звездой рансомвари у LockBit невысоки.

В декабре в Канаде арестовали хакера из группировки «Com», связанной с нашумевшим весной взломом 165 компаний через облачный сервис Snowflake, а также сваттингом, криптограбежами и прочими развлечениями западной киберпреступной молодёжи. За онлайн-персоной Waifu скрывался 25-летний канадец.

Профиль как и в случае с многими другими западными киберпреступниками говорящий. Аутист, школу не окончил из-за травли, жил с дедушкой. Там, где в СНГ средний киберпреступник — это уважаемый кабанчик с вертолётом, Ламборджини и связями, англоязычные сплошь и рядом оказываются трудными подростками, сидящими на горе крипты перед двумя мониторами.

Товарищ Waifu отметился ещё и тем, что до самого дня поимки вёл регулярную переписку с Кребсом, предлагая обыграть его в шахматы в обмен на честный разговор. По следам ареста WSJ вспоминает глубинный лор Кребса, включая то, как Вовненко героин ему присылал. Самое время освежить в памяти классику.

Дела спайварные

Декабрь отметился многочисленными новостями о спайвари. Так, Whatsapp добился крупной юридической победы на NSO Group: суд встал  на сторону мессенджера в разбирательстве по делу о Pegasus. И признал компанию ответственной за взлом 1,400 устройств. Это первое успешное дело такого плана против NSO.

Попутно судья прошёлся по NSO Group за препятствование ходу дела: компания не предоставила полные исходники, что стало одним из ключевых факторов в пользу принятого решения. Компанию также обвинили в нарушении ToS Whatsapp. В общем, по итогам дела у нас не только инсайды во внутреннюю кухню разработчика спайвари, подтверждающие то, что компания выступает в качестве оператора у клиентов, но и серьёзный прецедент.

Разбирательства по ущербу, нанесённому Whatsapp, начнутся в марте. А там, глядишь, и действовать NSO и компания смогут уже с меньшей вседозволенностью под разглагольствования про «более безопасный мир» и прочие не очень убедительные заходы от своих маркетологов.

Компания iVerify, разработавшая софт для обнаружения спайвари, в декабре поделилась результатами работы. Из 2,500 проверенных ими устройств 7 оказались скомпрометированы Pegasus. Число может показаться невысоким, особенно с учётом целевой аудитории софта, но сам факт того, что невыборочный скан нашёл заражения, уже тревожный.

Самое интересное в отчёте другое. Среди жертв оказались не только журналисты и оппозиция, но и бизнесмены, управленцы, госслужащие. Иными словами, грязная репутация «спайвари по найму, которую абьюзят для слежки за активистами» — это ещё не предел для NSO Group.

И по итогам анализа вполне может оказаться, что профиль работы Pegasus в сущности ничем не отличается от средней госхакерской группировки или MaaS-операции. Как водится, дно — это новый фронтир. Впрочем, поднимите руку, кого удивит, если «бывшие» разведчики на коротком поводке у Моссада работают в формате APT.

В прошлом месяце исследователи обнаружили незадокументированную спайварь, на этот раз китайскую. В отличие от стран эльфов, где софт с сомнительной репутацией выводят в частный сектор для правдоподобного отрицания и прочей цифровой экспертизы, в Китае с этим всё просто: С2 висят на доменах полиции. А админ-панель зовётся «Система правового поддержания стабильности». Чего им стесняться-то.

Спайварь используют минимум с 2017-го года, в активной разработке, под Android и iOS. Стягивает записи звонков, контакты, сообщения с мессенджеров, геоданные и файлы, пишет экран и аудио. С установкой тоже не заморачиваются: спайварь накатывают при изъятии устройства при обыске.

Иными словами, рекомендации по деловым поездкам в Китай с одноразовыми телефонами и пустыми ноутами — это не чрезмерная осторожность, а насущная необходимость. Подробнее о находке в отчёте.

В Сербии также намечается очередной скандал со спайварью. Согласно докладу Amnesty International в стране следили за журналистами, активистами и экологами. Под это дело у сербских братушек была своя спайварь NoviSpy, её накатывали во время задержаний и допросов. Стягивание звонков, контактов и переписки, запись аудио и скриншоты — всё как полагается.

Огоньку истории добавляет то, что начальный доступ к телефонам получали с помощью софта от Cellebrite — его следы нашли на устройствах помимо самого шпионского ПО. То есть под видом цифровой экспертизы и борьбы с преступностью в очередной раз идёт нарушение прав.

Cellebrite уже успела выразить глубочайшую озабоченность, сослалась на ToS с номинальным упоминанием прав человека и обещает «отозвать лицензию» на свой софт у сербских органов, если информация подтвердится (как отозвали, например, у китайцев). Никогда такого не было, и вот опять.

И наконец, в декабре частная инвестиционная компания в США приобрела израильского разработчика спайвари Paragon. Последние работают, не привлекая к себе внимания, но при этом являются прямым конкурентом NSO Group в дружеском соперничестве с товарищами по подразделению 8200.

Ключевой продукт Paragon, спайварь Graphite, отличается впечатляющей функциональностью и пользуется большой любовью у американских органов. В немалой степени в силу того, что эти хитрые торговцы изначально целились на американский рынок, так что по гражданам США не работали и во взломе их чиновников в отличие от NSO Group замечены не были. Стратегия окупилась: сумма сделки может достичь почти миллиарда долларов.

Тем временем Штаты продолжают многолетнюю традицию инвестиций в перспективное шпионское ПО, как было с самой NSO и итальянской Hacking Team в далёком 2014-м. Деловая хватка, что тут скажешь.

Всем выйти из Матрицы, а также с Rydox и Anom

В прошлом месяце Европол положил ещё одну платформу защищённой связи для преступников: в этот раз досталось Matrix. Только по инвайтам, с качественным шифрованием. Но, видимо, недостаточно качественным. Сервера перехвачены, трое подозреваемых задержаны, включая предполагаемого владельца, гражданина Литвы.

Деталей не раскрывают, но утверждают, что есть доступ к перепискам. А это 2,3 миллиона сообщений на 33 языках от ~8 тысяч клиентов по всему миру. Перехват EncroChat в 2020-м привёл к задержанию почти семи тысяч человек и изъятию ~800 миллионов долларов. Так что задел под аресты хороший. А вместе с недавним перехватом Ghost рынок защищённой связи изрядно поредел и окончательно рассыплется на местечковые сервисы.

Между тем заглушку для Matrix оформили в соответствующем стиле, но без тематических шуточек. Это, конечно, недоработка интерна: легла целая платформа под наркотрафик, а в заглушке ни одной подколки про красные таблетки и поимевший всех Европол.

В декабре под нож ФБР отправился ещё один долгожитель от мира киберпреступных меркетплейсов. На этот раз досталось Rydox. Трое админов, граждане Косово, арестованы; двое ждут экстрадиции в США, одного в качестве дополнительной меры наказания будут судить в Албании. Хотя здесь, конечно, возможны варианты.

Rydox был активен с февраля 2016-го, насчитывал 18 тысяч юзеров и по документам принёс админам скромные $230 тысяч с продажи украденных данных доступа и разных киберпреступных приблуд. Впрочем, судя по всему, это просто сумма изъятого в крипте. Как водится у албанцев, преступность — дело семейное. Так что экстрадиции дожидаются товарищи Ардит и Джетмир Кутлеши. По совокупности обвинений оба рискуют повысить свою репутацию в преступных кругах на срок до 37 лет, но на деле как обычно получат что-то в пределах десяточки.

Недавно всплывали подробности операции с Anom от ФБР, а процесс над дистрибьюторами всё идёт. И обзавёлся интересным поворотом: защита требует раскрыть имя информатора. Он же создатель Anom, передавший контроль над платформой безопасникам в погонах, которые организовали на её основе увлекательный стартап.

При этом гособвинение обязано раскрыть его личность, если дело пойдёт в суд. Так что с подачи адвокатов Александра Дмитриенко и прочей обслуги федералов поневоле ключевой персонаж в любимой операции ФБР в его новейшей истории рискует быть раскрытым. Перед картелями и другими замечательными людьми, желающими выразить ему благодарность за впечатляющих масштабов ханипот.

Так что вопрос приватности для товарища Afgoo в сущности становится вопросом жизни и смерти. Понятно, что его упрячут подальше по программе защиты свидетелей. Но осадочек явно останется.