Кибервымогательство под ключ

COVID-19 привнес инновации в деятельность хакеров. Новый этап развития киберпреступности связан с поставкой вредоносного программного обеспечения под заказ и под ключ.

По оценкам Group-IB, занимающейся поиском угроз и кибернетической разведкой, после начала пандемии в 2020 году количество атак с использованием программ-вымогателей выросло более чем на 150%. Среднее по рынку требование выкупа за ликвидацию последствий внедрения вредоносного ПО выросло более чем в 2 раза и сейчас составляет $170 000.  

Хакерство заразительно

По данным британской компании Elliptic, инициатор недавней атаки на нефтепровод Colonial Pipeline — группа DarkSide (вместе с аффилированными структурами) — выставившая его владельцам требование о выплате $5,3 млн, за 9 месяцев получила от 47 жертв не менее $90 млн.

CNBC утверждает, что DarkSide якобы не удалось снять деньги с Colonial Pipeline благодаря действиям американских спецслужб. Но каждая громкая, а главное безнаказанная попытка кибервымогательства, порождает десятки новых. Не прошло и месяца с момента хакерской атаки на Colonial Pipeline, как злоумышленники нанесли удары еще по нескольким стратегическим объектам.

В последнее воскресенье мая, когда американцы отмечают День поминовения усопших, нападению подвергся головной офис крупнейшего в США переработчика мяса — JBS SA.  

Компании принадлежит около 20% забойных мощностей для крупного рогатого скота. Ее доля на рынке говядины США оценивается в 23%, а на рынке свинины JBS контролирует 20%.

Но несмотря на гигантские масштабы производства и миллиардные доходы, гигант ничего не смог противопоставить киберпреступникам. В результате инцидента 1 июня переработчик отменил смены в большинстве филиалов в США и Канаде, а также полностью остановил работу в Австралии.

Атаку на крупнейший мясной актив США американские спецслужбы приписывают российской группе хакеров REvil, известной также как Sodinokibi.

«Организаторами взлома сетей JBS мы считаем REvil и Sodinokibi и прилагаем все усилия, чтобы привлечь виновных в совершении киберпреступления к ответственности», — говорится в заявлении ФБР.

Без… простака и жизнь плоха

Сегодня REvil называют одной из самых активных хакерских групп в мире. За последний год ее атакам подверглись компании Apple и Acer, интернет-провайдер Telecom Argentina, чилийский банк BancoEstado, крупная юридическая фирма Grubman Shire Meiselas & Sacks и многие другие.

Как правило, злоумышленники копируют и шифруют данные предприятий, подвергшихся нападению, а затем предлагают дешифровку в обмен на выкуп. В зависимости от ценности информации, суммы могут быть очень чувствительными.

Например, от Acer хакеры потребовали $50 млн. У Grubman Shire Meiselas & Sacks — эта фирма обслуживает многих звезд, включая Мадонну, Элтона Джона, Леди Гага, U2 и других всемирно известных артистов — REvil «попросили» $21 млн. А когда юристы предложили ограничиться выплатой $365 000, кибернетические взломщики опубликовали часть похищенных конфиденциальных данных и удвоили сумму выкупа.

Впрочем, в случае с JBS медиа и экспертов интересовали не подробности переговоров с преступниками, а то, почему крупнейшее мясоперерабатывающее предприятие, которое относится к сфере национальной продовольственной безопасности, оказалось беззащитным перед взломом. Немаловажен и вопрос о том, почему Министерство сельского хозяйства США, курирующее мясную отрасль, не разработало никаких правил или требований к кибербезопасности для своих подопечных.

Эксперты пришли к выводу: происшедшее стало следствием сразу нескольких факторов. Это и чрезмерная концентрация, и дешевизна продовольствия на американском рынке, и стремление производителей максимально сократить издержки. А кибербезопасность явно не относится к самым насущным затратам.

В результате сложилась ситуация, когда хакерам становится все легче найти узкие места. Атакуя их, они воздействуют на целые отрасли и наносят ущерб, позволяющий выставлять многомиллионные требования хозяевам предприятий уровня Colonial Pipeline и JBS.

«Критически важные объекты инфраструктуры часто недостаточно хорошо защищены. Этот факт в сочетании с масштабом их деятельности превращает эти предприятия в главную мишень хакеров. И это ставит организации, управляющие критически важной инфраструктурой, в непростое положение. Им надо либо заплатить выкуп, либо самостоятельно разгребать экономические последствия атаки», — поясняет Амит Йоран, генеральный директор фирмы Tenable, занимающейся обеспечением кибербезопасности.  

 

Кибернетическая преступность в последнее время значительно окрепла и давно уже не является способом самоутверждения для 16-летних юнцов. Эта точка зрения подтверждается последним ударом хакеров — нападением на японский транснациональный конгломерат Fujifilm.

Компания, получившая широкую известность как производитель фотоаппаратуры и кинопленки, выпускает еще и востребованное медицинское оборудование, в том числе устройства для экспресс-обработки тестов на COVID-19. Ее руководство заявило, что поздним вечером 1 июня гигант стал объектом атаки программы-вымогателя.

«В результате мы приняли меры по приостановке работы всех затронутых систем в координации с нашими различными глобальными организациями. Сейчас мы работаем над оценкой степени и масштабов проблемы. Мы приносим искренние извинения нашим клиентам и деловым партнерам за доставленные неудобства», — говорится в заявлении японцев. 

Есть ли политический след?

До этого в Fujifilm подтвердили, что кибератака лишает возможности адекватно принимать и обрабатывать заказы. А Fujifilm USA после частичного отключения сети добавила на свой сайт уведомление о том, что у компании возникают проблемы, негативно повлиявшие на все формы связи, включая электронную почту и телефонию.

Пока неизвестно, кто именно стоит за атакой на Fujifilm и какой выкуп требуют у компании. Однако гендиректор Advanced Intel Виталий Кремез сообщил Techcrunch, что в мае системы Fujifilm были поражены троянским вирусом — скорее всего, заражение инициировано фишингом.

Но эксперты Bleeping Computer считают, что серверы японской компании поражены Qbot, (он же QakBot, или QuakBot). Создатели этого вируса давно сотрудничают с операторами программ-вымогателей. А сегодня их якобы связывает партнерство с группой REvil.

Таким образом, одна и та же российская хакерская группа незадолго до встречи Джо Байдена и Владимира Путина, назначенной на 16 июня в Женеве, дважды серьезно наследила, вначале создав проблемы крупнейшему американскому поставщику мяса для стейков и гамбургеров, а затем японскому производителю фото- и медицинской аппаратуры.   

Однако вряд ли стоит искать здесь какие-то противоречия. В одном из интервью Habr анонимный основатель REvil заявил, что открыл новую ветку разработки хакерских программ — теперь он поставляет продукты под заказ. Аноним подчеркнул, что его деятельность полностью дистанцирована от политики.

Но в этом случае дивиденды от возрастания киберугроз снимут именно президенты РФ и США. Владимир Путин покажет своему коллеге, что без России никакой мировой порядок не возможен. Джо Байден также хочет расшевелить консерваторов, не желающих тратиться на кибербезопасность, и готов выделить на эти цели миллиарды.

Так что в вопросе кибербезопасности американский и российский лидеры — не враги, а союзники. А хакерские группировки, вне зависимости от национального происхождения, активно им подыгрывают.

Источники: Bloomberg, BBC, Techcrunch, Habr, Хакер