Збережіть наші файли: як працює хакерський бізнес сьогодні та як він сьогодні переходить на аутсорс

Кібератаки не є якоюсь новинкою в сучасному світі, але кількість нападів з боку хакерських груп останній рік лише зростає, як і суми викупів. Відкритий співробітником фішинговий лист чи якась вразливість у системі компанії може коштувати або втрати й розкриття всіх даних, або видатків на викуп у доларах з шести-семи нулями.

Найбільше шуму в минулому місяці зробили хакери з DarkSide з їх кібератакою найбільшого оператора трубопроводів США. Не меншого розголосу отримала атака групи REvil/Sodinokibi на найбільший виробник м’яса у світі. Зараз в режимі напруги знаходяться Tesla та SpaceX — декілька днів тому відома хакерська група Anonymous «оголосила війну» Ілону Маску.

Попри ці останні відомі кейси, як мінімум третина таких атак залишаються в тіні, не кажучи вже про дрібніші кейси. Представники подібних груп постійно зазначають, що більшість компаній тихо погоджується з їх вимогами, не розголошуючи це в ЗМІ. Про те, як працює сучасний хакерський бізнес, як та скільки вони заробляють — в матеріалі «Українського капіталу».

Що відбувається

Нещодавні успішні напади кіберзлочинності на великий бізнес по всьому світу — це нові тривожні дзвінки у 2020-2021 роках. Виявляється, що підковані синдикати кіберзлочинців часто беруть верх у цій інформаційній війні проти серйозних правоохоронних органів.

Минулий місяць був особливо хвилюючим у США. Там компанія Colonial Pipeline — найбільший паливопровід у країні, та JBS — найбільший у світі м’ясокомбінат, опинились у заручниках під час двох окремих хакерських атак. Навіть такі великі компанії, які мають серйозні бюджети на кібербезпеку, стали жертвами цифрового саботажу.

В США новина про злам Colonial Pipeline — найбільшого постачальника нафтопродуктів на сході країни, була причиною паніки населення. Автовласники, очікуючи дефіциту, скуповували бензин, а ціни на паливо — зростали. На фото АЗС в Бенсоні, штат Північна Кароліна. Джерело зображення: AXIOS.
В США новина про злам Colonial Pipeline — найбільшого постачальника нафтопродуктів на сході країни, була причиною паніки населення. Автовласники, очікуючи дефіциту, скуповували бензин, а ціни на паливо — зростали. На фото АЗС в Бенсоні, штат Північна Кароліна. Джерело зображення: AXIOS.

Перша заплатила 5 млн доларів хакерам, які використовували програмне забезпечення відомої злочинної групи DarkSide, яка, як вважають, базується в Росії. Таку ж геолокацію приписують групі REvil/Sodinokibi, яка отримала 11 млн доларів від JBS. Як повідомлялося, більшу частину з першого викупу правоохоронцям вдалося відслідкувати та «зберегти», а щодо другого таких оптимістичних новин не було.

Як працює хакерський бізнес

Ні для кого не буде новиною — якщо не більша, то хоча б значна частина роботи зараз проходить в цифровому форматі. Підприємства вже давно перейшли на роботу в інтернеті — це стало ще нагальнішою потребою в пандемію. В розвинених країнах автоматизація ще більша: там концепцію Інтернету речей (IoT) не обговорюють, а впроваджують.

Де з’являється нова технологія, там людина знаходить спосіб заробити на цьому. Легальні ІТ-компанії пропонують програмні рішення, які полегшують роботу бізнесу. Зі свого боку незаконні групи створюють такі умови, в яких робота бізнесу «ламається» або його дані викрадаються, а хакери пропонують за гроші все «полагодити».

Раніше найпоширенішою була саме класична лінійна модель атаки на бізнес: злом, викрадення даних та їх продаж третім особам чи отримання викупу за їх нерозповсюдження. Сьогодні з ростом кількості кібератак змінюються й бізнес-моделі хакерів. Останні переходять на популярну сьогодні аутсорсингову модель.

Вимога як послуга: як хакери виходять на аутсорс

Більшість ІТ-компанії працюють за бізнес-моделлю «програма як послуга» (software as а service, SaaS). У двох словах, компанія-постачальник розробляє програму, розміщує її в «оренду» та оновлює її для зручнішого використання замовниками. Останні платять не за володіння програмою, а за використання копій програми.

«Клієнтоорієнтовані» хакерські групи вийшли на новий рівень: на противагу описаній вище бізнес-моделі вигадали свою. «Вимога як послуга» (ransomware as a service, RaaS) — це фактично те ж саме, що й SaaS, але в «оренду» здаються не корисні програми для бізнесу, а різні варіанти програм-вимагачів. Їх у користування отримують «партнери», які хочуть займатися незаконною діяльністю.

Ці пакети від різних груп можна легко знайти в даркнеті, де вони рекламуються як товари для дому в законній мережі. На зображенні реклама пакету ZagreuS на тематичному форумі в даркнеті. Джерело зображення: Recorded Future
Ці пакети від різних груп можна легко знайти в даркнеті, де вони рекламуються як товари для дому в законній мережі. На зображенні реклама пакету ZagreuS на тематичному форумі в даркнеті. Джерело зображення: Recorded Future

RaaS надає кожному, навіть людям без особливих технічних знань, можливість запускати атаки, просто заплативши за пакет. Вони не вимагають професійних навичок або витрат часу на розробку власних варіантів програм-вимагачів. Ці пакети від різних груп можна легко знайти в даркнеті, де вони рекламуються як товари для дому в законній мережі.

Як працюють основні методи злому

Найпопулярнішим методом нашкодити власнику даних на сьогодні є їх зловмисне шифрування. Віруси-шифрувальники приносять мільйони доларів кіберзлочинцям, адже вони однаково корисні як у випадку співпраці жертви з хакерами, так і у випадку ігнорування вимог хакерів.

Як тільки злоякісна програма отримує доступ до комп’ютера, мережі та даних, зазвичай робиться копія даних, що зберігається злочинцями. Цей процес треба, щоб не тільки шантажувати власника даних їх повною втратою, а ще й погрожувати «злити» чи продати дані. Так хакер створює у майбутньому платформу для додаткового тиску. 

Резервні копії даних в компанії, якщо такі знаходяться, видаляють. Далі, після створення копій даних у себе, вірус розпочинає процес шифрування даних власника. Це може відбуватися як хаотично, так і контрольовано — в такому випадку цей процес важко помітити власнику даних одразу.

Як працює таке «партнерство»

Один з нібито представників групи REvil/Sodinokibi розповів в інтерв’ю, що їх група обрала роботу за моделлю «вимога як послуга» через її вигідність, хоча й досі практикують лінійні злами. Команда розробників шкідливого ПЗ складається з близько десятка осіб, не враховуючи команду «тестувальників на проникнення».

Потрапити в «закриту сім’ю» по оголошенню не вийде: відбір «партнерів» у групи дуже жорсткий. Вони пропонують своїм «партнерам» шкідливе ПЗ. Зі свого боку завдання «партнера» — лише заразити мережу шифрувальником, завантажити дані собі перед шифруванням та знищити резервні копії даних.

«Хороша новина в тому, що ми — бізнесмени». На зображенні листування жертви з представником хакерської групи Conti, який вимагає 20 млн доларів за повернення та нерозкриття даних Ірландської державної системи охорони здоров’я. Інформація, якою заволоділи хакери, включає особисті дані про клієнтів, працівників, фінансову звітність, виписки з банків тощо. Джерело зображення: Associated Press
«Хороша новина в тому, що ми — бізнесмени». На зображенні листування жертви з представником хакерської групи Conti, який вимагає 20 млн доларів за повернення та нерозкриття даних Ірландської державної системи охорони здоров’я. Інформація, якою заволоділи хакери, включає особисті дані про клієнтів, працівників, фінансову звітність, виписки з банків тощо. Джерело зображення: Associated Press

REvil допомагають «партнерам» під час перемовин, тиску на організацію. Якщо зламана компанія погодилася на умови злочинців, група допомагає партнеру з отриманням викупу та передачею дешифрувальника — програми, що має відновити дані. Гроші, за словами представника групи, розподіляються системою автоматично: «партнер» отримує 70-80%, а розробники — решту.

Скільки заробляють хакери

У 2020 році, порівнюючи з 2019 роком, середній розмір платежу-викупу за відновлення зашифрованих чи нерозповсюдження викрадених даних зріс на 171%. За даними Unit 42, злом, зараження зловмисним ПЗ чи відкритий фішинговий лист одним зі співробітників могли коштувати компанії в середньому 312 тисячі доларів.

Як вже зазначалося, популярна сьогодні бізнес-модель «вимога як послуга» працює як аутсорс. «Партнери» отримують близько 80-75% від викупу, а решту — автори вірусу. Так, виходить, в разі вдалого злому «партнер» отримує близько 250 тисяч доларів, а автори зловмисного ПЗ — 60 тисяч доларів.

Враховуючи, що за даними, якими апелюють нібито учасники таких груп, їх річний прибуток може перевищувати 100 млн доларів, тоді в рік одна така може обслуговувати більш ніж півтори тисячі зломів. Також варто розуміти, що описана вище практика — це лише одна з відомих груп, а їх діють невідома кількість.

Яка зовнішня сторона ринку хакерських атак

Інженер-програміст Роб Соберз у своїй статті зібрав найголовніші цифри, які описують сучасний ринок хакерських атак. 45% від усіх порушень були наслідком злому, 17% — наслідком зловмисного ПЗ, та всього 22% — наслідком фішингу. Зі всіх зламів біля 86% мали фінансовий мотив — продати або отримати викуп, та 10% — шпигунський.

У 2019 році 88% світових компаній так чи інакше зазнавали спроб фішингу. В середньому кожен 4-тисячний лист — фішинговий, а в е-пошті маленьких компаній — кожен 3-сотий. Найпопулярнішими типами розширень файлів, які використовувалися в фішингових електронних листах, були «.doc» та «.dot» — 37%, а наступним за величиною є «.exe» — 19,5%.

Примітка про викуп Sodinokibi/REvil. Джерело зображення: Malwarebytes
«Записка» про викуп Sodinokibi/REvil. Джерело зображення: Malwarebytes

50% великих компаній (понад 10 тис. співробітників) щорічно витрачають на безпеку понад 1 млн доларів, 43% витрачають від мільйона до 250 тисяч доларів, а лише 7% витрачають менш як 250 тисяч доларів. Для тих, хто все-таки недостатньо витратив на захист, середня вартість хакерської атаки на компанію становить 2,6 мільйона доларів.

Що далі

Всі світові експерти сходяться в думці, що кількість зломів буде лише зростати. Технологічний розвиток, побічні ефекти дистанційної роботи та все більше впровадження IoT будуть ще частіше зустрічатися з намаганнями хакерів заробити на вразливості кіберзахисту компаній.

Враховуючи нещодавні гучні успішні кейси нової бізнес-моделі хакерських груп, популярність такого виду заробітку серед кіберзлочинців буде зростати. Здавалося б, що не так технологічну розвинену Україну цей тренд може оминути, але навіть в українських реаліях за останні роки є успішні кейси злому та отримання викупу.

Групи DarkSide, REvil/Sodinokibi, Dharma, LockBit та вихідці з них будуть створювати нові продукти, підключати нових «партнерів», потрапляти в нові гучні заголовки. Це ще один привід компаніям збільшити увагу до питання кіберзахисту, а українській владі — поставити цей напрям в пріоритет.