Экосистему профессиональной индустрии киберпреступников и причины, крайне осложняющие их поимку, разъяснил Дэвид Уолл, профессор криминологии Лидсского университета (Великобритания). Источник: The Conversation.
После соединения всех точек выясняется, что это высокопрофессиональная индустрия, не соответствующая привычному формату организованной преступности и которая, по-видимому, черпает вдохновение напрямую из руководств по современным бизнес-моделям.
Сейчас бизнес-модель этого преступного сообщества сместилась в направлении услуг по предоставлению программ-вымогателей. Киберпреступники по-прежнему распространяют вредоносное ПО, занимаются управлением системами вымогательства и платежей, оттачиванием репутации своих «брендов». Однако теперь, стремясь преуменьшить вероятность ареста, ими ведется наем за щедрые комиссионные аффилированных лиц, которые воспользуются атакующим ПО, подготовленным киберпреступниками.
Этот формат организации атак привел к широкому развитию рынка криминального труда. В результате люди, у которых обнаруживается вредоносное ПО, могут не являться теми же преступниками, что планировали или выполняли кибератаки. Ситуация еще более осложнена тем, что при совершении преступлений хакеры обращаются к услугам, оказываемым развернутой экосистемой теневой киберпреступности.
Как происходят атаки программами-вымогателями
Прежде всего, это разведка с выявлением возможных жертв и нахождением у них сетевых точек доступа. После хакер достигает «начального доступа», пользуясь для входа учетными данными, приобретенными в даркнете или добытыми обманным путем.
Располагая начальным доступом, киберпреступники достигают повышенного уровня своих прав во внутренней сети компании, что позволит им обнаружить ключевые организационные данные, кража которых причинит наибольший урон и позволит требовать выкуп. Вот почему медицинские базы медучреждений и полиции наиболее интересны исполнителям атак программами-вымогателями. Извлечение и сохранение ключевых данных выполняется злоумышленниками прежде, чем ими будет установлена и активирована программа-вымогатель.
Затем следует первый признак атаки организации-жертвы: развертывается ПО, блокирующее доступ персоналу компании к их ключевым данным. Жертву сразу называют и позорят через сайт банды вымогателей, расположенные в даркнете. Подобный «пресс-релиз» нередко содержит угрозы открытой публикации украденной конфиденциальной информации, что должно запугать и склонить жертву к выкупу.
При успехе выкуп вносится трудно отслеживаемой криптовалютой, следом конвертируемой хакерами в бумажную валюту. Киберпреступники зачастую инвестируют средства от выкупов в расширение своих возможностей и, чтобы их не поймали, на оплату филиалов.
Экосистема киберпреступности
В мире киберпреступности представлено множество специализаций. Имеются спамеры, арендующие ПО для спама и предоставляющие услуги, используемые впоследствии мошенниками-«фишерами» для кражи учетных данных людей, а также торговцы, продающие украденные данные в даркнете.
Эти данные обычно приобретают другие торговцы, специализацией которых являются данные под начальный доступ к определенным компьютерным системам. Они перепродают эти данные потенциальным киберпреступникам, в свою очередь, взаимодействующим с торговцами арендованными программами-вымогателями и предлагающими данное преступное ПО как услугу.
Чтобы координировать эти группы, участники преступной сети создают онлайн-рынки, на которых можно открыто торговать или обмениваться услугами, обычно занимаясь этим через сеть Tor в даркнете. В операциях вымогателей также участвуют монетизаторы для превращения криптовалюты в фиатные деньги, а еще переговорщики, представляющие стороны жертвы и преступника, чье участие позволит урегулировать размер выкупа.
Развитие этой экосистемы происходит постоянно. К примеру, в последнее время ее дополнил «консультант по программам-вымогателям», за плату консультирующий преступников на ключевых стадиям кибератак.
Арест правонарушителей
После 2020 года, известного непрекращающимися кибератаками, власти и правоохранители, похоже, предприняли наращивание усилий в борьбе с киберпреступниками. В июне 2021 г. полицейскими Украины и Южной Кореи произведен скоординированный арест участников группировки «Cl0p», известных кибервымогателей. Также в июне россиянин Олег Кошкин был осужден в США за разработку службы шифрования вредоносных ПО, которыми преступные группы пользуются при кибератаках, чтобы их ПО не обнаружили антивирусы.
Внешне эти результаты действий правоохранительных служб представляются многообещающими, однако атаки программ-вымогателей являются сложным преступлением, исполняемым рассредоточенной сетью хакеров. Правоохранители и эксперты сферы кибербезопасности стараются не отставать от киберпреступников, постоянно оттачивающих свои методы. Тем не менее, из-за негибкости правоохранительных механизмов и отсутствия подлежащего аресту ключевого преступника полиция чаще оказывается в шаге позади исполнителей киберпреступлений.