Какво показва анализът на големите изнудвачи в интернет пространството

 

Вирусите за изнудване рансъмуер все повече правят заглавията на пресата, пише The Conversation. Компаниите по света страдат от хакерите, които често не могат да се определят и да се идентифицират. Инициаторите на кибератаките често използват обширни разпределени мрежи и затова дори не можете да знаете със сигурност, дали участващите хора се познават помежду си.

DarkSide (Тъмната страна)

Тази група беше зад атаката срещу инфраструктурата на тръбопровода Colonial Pipeline през май тази година. В резултат на това системата за дистрибуция на компанията в САЩ спря да работи, което доведе до огромни смущения в доставките на гориво в различни американски щати.

За първи път групата стана известна през август 2020 г. Целите на тези хакери са големите компании, чиито услуги са умишлено хакнати, за да им се нарушат операциите, което увеличава вероятността да получат откуп. Такъв модел предполага, че целта не е избрана от DarkSide, а от клиента, а хакерите са изпълнителите.

„Като цяло DarkSide не е група в традиционния смисъл, - каза в своя коментар водещия специалист в лабораторията за компютърна криминалистика Group-IB Олег Скулкин. Според него рансъмуерът често се разпространява по модела на ''рансъмуер като услуга'' (ransomware-as-a-service), така че голям брой групи да могат да използват програмата.

Както отбеляза експертът, DarkSide е по-скоро партньорска програма за хакери, която има някои правила. Там се приемат само рускоезични потребители, а работата в Русия и страните от бившия СССР е забранена, а самите обяви се публикуват само на руски език.

Герман Авдиенко, специалист в отдела за корпоративен бизнес на ESET в Русия, подчертава, че за разлика от мнозина DarkSide следва определен кодекс на честта: те не целят да докарат компанията жертва до фалит, и също така не атакуват образователни институции, лечебни заведения и редица други социално значими обекти.

REvil

REvil станаха известни, след като атакуваха системите на най-големия производител на месо в света, JBS. В резултат на това корпорацията плати на хакерите $11 млн. През април REvil открадна данните на пуснатите на пазара устройства на Apple чрез хакване на тайванската компания Quanta Computer, която сглобяваше лаптопите на американската корпорация. Тогава хакерите поискаха $50 млн., в противен случай обещаха да направят данните публични. Официално никой не е потвърдил дали откупът е платен или не, но тайните на Apple в мрежата все още не са се появили.

Според Скулкин партньорите на REvil не избират компании, принадлежащи към определена индустрия. Сред техните жертви са Acer, Honeywell, Quanta Computer, JBS, Sol Oriens. Той обяснява това, че в началото исканията им за откуп са били много скромни, но с течение на времето те са започнали да достигат десетки милиони долари.

Авдиенко отбеляза, че REvil са ярък пример за заплахата за малкия бизнес, и че те също могат да представляват интерес за хакерите.

Според него магазините, аптечните вериги, малкият и средният бизнес са пострадали от действията на хакерите. Експертът е сигурен, че в миналото, в резултат на атаката на REvil срещу доставчици на MSP, са регистрирани над 5000 опита за хакване в 22 държави. Почти половината (45%) от подобни опити са се случили в Италия и една четвърт (26%) в САЩ, а Колумбия, Германия и Мексико са сред петте най-атакувани държави заради пренебрегването на основните правила за информационна сигурност.

Clop

Вирусите за изнудване рансъмуер на Clop се появиха през 2019 г. и досега с техните атаки те са постигнали откупи, с общ размер до половин милиард долара. Групата е специализирана в „двойното изнудване“. Първо искат да получат откупа от жертвата в замяна на ключа за дешифриране. След това жертвата изглежда е възстановила достъпа си до откраднатите данни, но скоро u се предлага да плати допълнителен откуп, така че откраднатите по време на хакерството данни да не бъдат публикувани в мрежата.

Действията на групата могат да се обяснят с това, че често компаниите, които заплатят веднъж откупа, са по-склонни да платят отново в бъдеще. По този начин хакерите се стремят отново и отново към едни и същи организации, като всеки път изискват повече пари.

Авдиенко каза, че Clop, подобно на DarkSide, са участвали в атаки срещу големи компании: Shell, Qualys и дори Банката на Нова Зеландия. Наскоро имаше поредица от арести на членове на групата, но това не им попречи да излъчат нов архив от откраднати данни. „Не мисля, че дейността им ще спре, тъй като задържаните хора не бяха лидерите на Clop“, добави специалистът.

Syrian Electronic Army

Syrian Electronic Army (Сирийската електронна армия) не прилича на стандартна групировка. Дейността u става забележима от 2011 г. и до голяма степен е свързана с политически събития. В тази връзка те често са наричани „хактивисти“, тоест хакери с политически мотиви.

Неофициално нейните участници са заподозрени във връзки със сирийските власти и президента Башар Асад. Действията на хакерите могат да показват, че те са част от подразделенията на сирийската армия и са нейните помощни медии.

Най-често те хакват медиите, които имат репутацията на надежден източник на информация, за да публикуват там фалшиви данни, предавайки им ги като реални.

И така, през 2013 г. хактивистите успяха да публикуват туит от официалния акаунт на агенция Асошиейтед прес за експлозиите в Белия дом и ранения бивш президент на САЩ Барак Обама. Публикацията доведе до срив на фондовите пазари.

Според Олег Скулкин „Сирийската електронна армия“ е група от хакери, които подкрепят Асад. От 2011 г. сред техните цели бяха сайтове и акаунти в социалните медии на Washington Post, на Financial Times, телевизионната и радио компания BBC. Те хакнаха и PayPal UK, eBay и сайтовете на морската пехота на САЩ.

Също така, хактивистите успешно са прониквали и в сървъра на Forbes и са откраднали над един милион потребителски акаунта. Авдиенко вярва, че убежденията, а не алчността са в основата на действията на тази група, така че тяхната тактика за работа стоят убеждения, а не жаждата за пари и затова борбата такива хакери е много различна.

FIN7

Според The Conversation, тази конкретна група е най-опасната и „успешна“ в нелегалната си работа. Те за първи път предприемат своите атаки през 2012 г. В същото време много от техните действия остават незабелязани в продължение на много години. Хакването на базите данни бяха извършени по такъв начин, че да се изпълнят няколко цели едновременно: да се поиска откуп за отключването, а след това да се използват заловените данни, като се препродадат на заинтересованите страни. Според непотвърдени доклади в началото на 2017 г. именно FIN7 стои зад атаката срещу компании, които са подали документи до Комисията за ценни книжа и борси в САЩ. Щетите от действията на тези хакери се оценяват на повече от един милиард долара.

Олег Скулкин отбеляза, че ако по-рано мишени на престъпниците в Русия и страните от бившия СССР са били предимно банките и платежните системи, то в Европа, САЩ и Латинска Америка престъпниците са атакували търговските вериги, електронната търговия, новинарските ресурси и хотелите.

Първоначално те провеждаха своите целеви атаки, но с течение на времето превключиха към атаки с рансъмуер, които са по-лесни за изпълнение и могат да донесат на хакерите също толкова печалба.
Според Скулкин групата FIN7 си е партнирала с операторите на рансъмуера на REvil от известно време.

Руските компании също така станаха жертви на злонамерените пощенски съобщения FIN7, но по-често това е „тестване на възможностите на злонамерения софтуер, отколкото на реална атака“, отбеляза специалистът.
„Бих нарекъл FIN7, че е най-хитрата от представените групи“, подчерта Авдиенко. Той добави, че групата разполага с редица свои инструменти и техники, което показва тяхната сериозна квалификация.

Превод за “Труд” - Павел Павлов