28/07/22
Использование программ-вымогателей больше не происходит исключительно собственными силами злоумышленников. ПО широко передается на аутсорсинг другим бандам, являясь частью расширенной сети киберпреступных предприятий, что объясняет рост угрозы в последние годы.
К такому выводу пришла кибер-аналитическая компания Tenable в своем последнем обзоре данных, собранных из различных источников об угрозе вымогательского ПО (ВПО) за последнее десятилетие, сообщает Securitylab.
Согласно данным ФБР, за шесть лет до 2019 года операторы шифровальщиков похитили 144 млн долларов. А уже в следующем году заработали в общей сложности 692 млн долларов, что почти в пять раз больше, чем за все предыдущие годы вместе взятые.
"Вероятно, приведенные цифры занижают реальные показатели из-за отсутствия информации о криптовалютных кошельках, используемых всеми бандами вымогателями, а также из-за задержек в получении таких данных", - заявили в Tenable. "На сегодня ВПО закрепилось в качестве одной из самых больших угроз для глобальных организаций - и в процессе превратилось в прибыльную криминальную экосистему".
По мнению Tenable, этому способствовала готовность злоумышленников эволюционировать от «владельцев-операторов» к более предприимчивым организациям, которые не возражают против передачи своих инструментов другим киберпреступникам в обмен на долю доходов. Такой вид мошенничества, известный как ransomware-as-a-service (программа-вымогатель как услуга), представляет серьезную угрозу для предприятий и организаций по всему миру.
Партнеры и брокеры
«Программы-вымогатели превратились в самодостаточную отрасль», — отмечают в компании. «Раньше атаки совершались группами, которые и разрабатывали, и распространяли вредонос. Однако появление RaaS привлекло множество игроков. Каждый из них играет важную роль, составляя экосистему вымогательского ПО. Кроме группировок, распространяющих ВПО, к ключевым игрокам также относятся аффилированные лица и брокеры первоначального доступа (initial access brokers, IAB)».
Брокеры, по сути, являются посредниками в «индустрии» шифровальшиков. Высокоспециализированные, они редко сами принимают непосредственное участие в кибератаках.
«Брокеры первоначального доступа находят уязвимости в сетях организаций-жертв и продают их другим лицам или группам в экосистеме киберпреступности», — рассказали в Tenable. «Их гонорары весьма демократичны, поскольку варьируются в зависимости от типа организаций, которые они взломали, и способа доступа».
Компания Digital Shadows изучила 500 объявлений, опубликованных брокерами в 2020 году. Так, простой доступ к панели управления сетью жертвы может продаваться по цене около 300 долларов, а полноценный доступ к удаленному управлению стоит чуть меньше 10 000 долларов.
Еще одним фактором, обуславливающим, казалось бы, экспоненциальный рост экосистемы программ-вымогателей, является привлечение аффилированных лиц. Аффилированные лица выходят на передовую, атакуя цель с помощью вредоносных программ, прежде чем позволить основной группе вступить в переговоры о выкупе. Часто вознаграждение, предлагаемое таким партнерам, весьма солидное: от 70% от конечной суммы выкупа до 90% в случае с BlackCat.
"Чтобы группа шифровальщиков преуспела, ей необходимо набрать аффилированных лиц для проведения атак и обеспечить постоянный поток "клиентов", - заявили в Tenable, имея в виду жертв. "Поэтому неудивительно, что банды вымогателей очень щедры при привлечении партнеров. Если программы-вымогатели — это средство, то аффилированные лица — это драйверы, ответственные за продвижение атак. Такой тип партнерства является одним из ключевых элементов, способствующих процветанию вредоносных ПО в течение последних четырех лет».
Описывая успех большинства банд по выкупу, как «в значительной степени побочный продукт партнерских программ, которые они внедрили», в Tenable добавили: "Они ничем не отличаются от партнерских программ легальных компаний. Точно так же, как аффилированные лица приводят в компании потенциальных клиентов, аффилированные лица, занимающиеся ВПО, находят и заражают жертв зловредами и приводят их в группы программ-вымогателей, чтобы «закрыть сделку».
Еще одним элементом, объясняющим поразительный рост рынка вымогательских программ как нелегальной индустрии услуг, является его устойчивость: многие группы исчезали, а затем возвращались из небытия.
«В конечном счете, сами группы эфемерны, — рассказали в компании. «Мы видели, как многие группы пропадали на несколько лет либо по собственному желанию, либо в результате действий правительства и правоохранительных органов".
Однако в итоге появлялись новые группы, в состав которых входили представители более старых группировок, считавшихся ранее распущенными. В результате возникает вопрос - действительно ли RaaS-группы исчезают, или просто предпочитают затаиться и в нужный момент провести ребрендинг.
«Например, REvil стала преемницей печально известной группировки GandCrab, а Conti — преемницейRyuk», — отметили в Tenable.
