За останні два тижні, з 15 по 28 серпня, IT-армія вивела з ладу понад 450 російських ресурсів. Про це повідомляє Укрінформ в своєму телеграм-каналі. Серед переліку пошкоджених сервісів були центральний банк, сервіс пошуку роботи та популярні сервіси переказу грошей.
В список заблокованих ресурсів також увійшли: партія “справедливая Россия – патриоты – за правду”, рітейл-компанія DNS, російські сайти у тимчасово окупованому Криму та низка пропагандистських ЗМІ.
Внаслідок кібератаки на центральний банк рф, робота з фінустановами та реєстрами була паралізована та дестабілізувала роботу інших банків росії. Проте, банку вдалося відключити обмін електронними документами та свої сервіси. Слід зазначити, що після того, як IT-армія зуміла призупинити аналоги банківських сервісів, росіяни втратил змогу оформляти міжнародні віртуальні карти і переказувати кошти.
Російський сайт по пошуку роботи SuperJob, який діяв у тимчасово захоплених територіях теж зазанав багів. Це цілком добра новина, адже завдяки цьому сервісу росіяни могли швидко відкривати вакансії для працевлаштування своїх людей. Таким чином вони хотіли повноцінно встановити свою владу.
Сайт рітейл-компанії DNS, який дозволяв росіянам безперешкодно та незаконно імпортувати іноземні товари в рф, був зламаний та виведений з ладу. Фахівці з кібербезпеки вивели з ладу РИА “Новости”, ТАСС, “Московский комсомолец” та їх деякі проекти. Ці ресурси втратили понад мільйон потенційних споживачів пропаганди.
24 серпня, IT-армія розмістила привітання з Днем Незалежності України на всіх головних сторінках російських сайтів, які зараз діють у Криму.
Як би це дивно не звучало, але повномасштабна агресія росії почалась задовго до 24 лютого. 15 січня було атаковано сайти міністерств та додаток “Дія”, а місяць по тому українські банки повідомили про потужні DDoS атаки. Однак і після вторгнення військ країни-терориста кіберпростір не перестав бути полем битви. Українські ентузіасти, хакери-одинаки та міжнародні угрупування на кшталт Anonymous почали невидиму війну з росією. До процесу приєдналися і міжнародні компанії, які мають вагомий вплив у Інтернеті. Фактично, це перша війна що проходить не лише на суші, у повітрі та на морі, але й у кіберпросторі. Давайте розглянемо ключові події, що мали місце на кіберфронті.
Як війна змінила інтернет-простір?
Окрім рядових користувачів, до інформаційної війни приєдналися такі впливові угрупування як Anonymous. Хакери Anonymous опублікували звернення до Володимира Путіна в якому оголосили кібервійну його агресивному режиму. Саме вони зламали сайт Міноборони РФ та оприлюднили базу даних особистими даними його співробітників.
The Anonymous collective is officially in cyber war against the Russian government. #Anonymous#Ukraine
Згодом до цієї війни приєднались такі IT гіганти як Apple, Google, Meta, Twitter та інші впливові компанії. Таким чином на Facebook були додані нові функції, що не дозволяє переглянути список друзів профілю, заборонили рекламу російських медіа та демонетизували їхні профілі.
Також YouTube відключили монетизацію для усіх російських користувачів, а також заблокував пропагандистські російські канали в Україні. Apple своєю чергою можливість використовувати карти “мир” у сервісі Apple Pay. Google відключили деякі функції Google Map в Україні, для забезпечення безпеки громадян та автоматично посилили захист облікових записів Google для українців.
Більшість онлайн сервісів, такі як VPN провайдери, підтримали Україну, надавши безплатний доступ до своїх послуг для українців. Це лише незначна частина усіх тих подій, які відбувалися у кіберпросторі упродовж повномасштабного вторгнення.
Однак дуже багато кібератак було спрямовано зі сторони Росії на українців. Зазвичай це були спам розсилки на пошти українців від імені державних структур. Хоча більшість атак спрямовано на те, щоб заволодіти конфіденційними даними українців, деякі робляться, щоб розповсюдити дезінформацію. Таким чином, 27 лютого, Meta повідомила, що зупинила хакерські атаки на Україну зі сторони Білорусі та Росії.
Приклад повідомлення, яке отримували українці
В березні група Anonymous зламала стрімінгові сервіси Wink і IVI в Росії, після чого замість фільмів були показані кадри російських бомбардувань в Україні. Також ця група зламала базу даних Роскомнагляду та оприлюднила понад 360 тисяч файлів, а через декілька днів їм вдалося завантажити декілька ГБ закритих даних російської компанії “Росатом”. 5 березня Anonymous припинила роботу вебсайту fsb.ru
Згодом такі компанії як Rockstar Games, Activision Blizzard, Electronic Arts, CD Projekt припиняють продаж своїх продуктів на території РФ. А Ігрова студія From Software забирає у гравців з РФ вже придбані примірники гри Elden Ring.
20 березня о 21:00 було зламано офіційну групу ВКонтакте. Від її імені користувачам ВК було надіслано лист з текстом «Російська армія перетворила на руїни багато мирних міст, знищила понад 3500 об’єктів цивільної інфраструктури».
Одне з повідомлень, надіслане від імені офіційної групи BK
Через кілька днів хакери Anonymous знов нагадують про себе зламавши сайт компанії Nestle, яка відмовилась покидати ринок РФ, а згодом все ті ж хакери ламають центральний банк Росії та обіцяють впродовж 48 годин опублікувати 35 тисяч файлів, зокрема секретні угоди.
23 березня українські хакери зламали понад 30 державних сайтів РБ, серед яких Беглісс, Держстандарт та видалили більш ніж 80 ТБ документів, а українські хакери «Кібер-Козаки» поклали сайт МЗС та податкової РБ. Наступного дня Anonymous опублікували 28 ГБ інформації після зламу центробанку РФ.
28 березня Anonymous здійснили кібератаку на сервери управління цивільної авіації та знищили усі дані, а також дані резервних копій. Згодом до списку приєднались РПЦ, в яких було викрито 15 ГБ даних та приблизно 57 500 електронних листів.
4 квітня Anonymous оприлюднили персональні дані 120 000 російських солдатів, які воюють в Україні, а 8 квітня Microsoft зірвала спроби російських хакерів Strontium, пов’язаних з ГРУ РФ, зламати комп’ютери в Україні, країнах ЄС та США
19 квітня Anonymous повідомили про злам російського банку ПСКБ та намір “злити” 800 ГБ конфіденційних даних, а 23 квітня вони зламали 645 000 електронних листів від «Энерпред-гидравлик».
11 травня Anonymous зламали RuTube, знищив до 75% баз даних інфраструктури основної версії, та до 90% резервних копій кластера до відновлення цих баз даних.
30 травня по 5 червня українська ІТ-армія атакувала близько 600 російських ресурсів за тиждень, серед яких ЗМІ, інтернет-провайдери та інформаційні системи. Через ці атаки деякі регіональні ЗМІ стабільно лежали тижнями, а росіяни мали складнощі з доступом до таких державних сервісів як Міністерства праці та соц. захисту РФ, житлового будівництва куди забудовники вносять відомості по об’єкту, ресурси з нерухомості та інші.
Дослідники кібербезпеки попереджають, що вразливість віддаленого виконання коду (RCE) у веб-інтерфейсі GitLab, як і раніше, активно експлуатується хакерами, наражаючи на небезпеку велику кількість екземплярів сервісу.
Вразливість CVE-2021-22205, відноситься до невірної валідації наданих користувачем зображень, що дозволяє виконувати довільний код, що міститься в них. Цій до цієї загрози вразливі як версії GitLab Community Edition (CE) так і GitLab Enterprise Edition (EE) , починаючи з версії 11.9. Патч, який виправляє цю проблему, випустили 14 квітня 2021 року для версій 13.8.8, 13.9.6 та 13.10.3.
В одній з реальних атак, що були описані HN Security минулого місяця, на загальнодоступному сервері GitLab (що належить неназваному клієнту), було зареєстровано два облікові записи, що отримали права адміністратора. Підвищення їх привілеїв було зроблено шляхом віддаленого виконання команд, що міститься в завантажених через цю прогалину в безпеці заражених зображеннях.
Незважаючи на те, що вразливість спочатку розглядалася лише як автентифіковане віддалене виконання коду та отримала бал CVSS 9.9, 21 вересня 2021 його значення було підвищено до 10.0. Причина в тому, що скористатися цією лазівкою можуть і неавтентифіковані зловмисники.
Повідомлення від користувача на форумі GitLab про знайдену вразливість
Зміна в оцінці вразливості за шкалою CVSS, звичайно, виявилася незначною, але той факт, що вразливість можуть експлуатувати і неавтентифіковані особи, має велике значення для захисників”, – повідомив фахівець із кібербезпеки з Rapid7 у попередженні, опублікованому в понеділок.
Незважаючи на те, що патчі доступні вже більше півроку, з 60,000 вразливих користувачів GitLab повноцінно проти RCE-атак захистилися лише 21%, а близько 50% все ще залишаються для них вразливими.
Зважаючи на можливість саме неавтентифікованої експлуатації вразливості, очікується подальше зростання активності зловмисників, що говорить про бажане якнайшвидше оновлення користувачами GitLab до останньої версії.
Крім того, в ідеалі сервіс GitLab краще не розкривати для загальної мережі”, – рекомендують дослідники. – «Якщо вам потрібен доступ до свого екземпляра через інтернет, то розгляньте можливість його огородження за допомогою VPN».
GitLab закликає користувачів якнайшвидше встановити оновлення порушених версій, а також надав обхідний шлях для тих, хто не може оновити прошивку. Платформа порекомендувала відключити функцію імпорту GitLab на вкладці «Видимість та керування доступом» у меню «Налаштування» після автентифікації з правами адміністратора. На даний момент не відомо, чи ця вразливість використовується в атаках.
Хакерам вдалося зламати фінальну версію операційної системи Android 13, яка була випущена в серпнi 2022 року. Про це стало відомо від порталу Android Police.
Фахівці з організації інформаційної безпеки зазначають, що вже було виявлено кілька вірусів, які можуть обійти додаткові заходи безпеки Google. Також ці зловмисники ігнорують заборону використання системи Accessibility Service звичайним додаткам. Ця система, в свою чергу, є основною особливістю Android 13.
Слід зазначити, що безконтрольний доступ до Accessibility Service небезпечний. Програми, які його отримали, можуть перехоплювати дзвінки та повідомлення власника смартфона, та власне здійснювати стеження за його пристроєм. В той же ж час угрупування Hadoken вже створили кілька вірусів, які здатні обійти захист, так щоб це не викликало підозр. Проте, цей вірус підвантажує інший, який вимагає доступ до Accessibility Service. В цьому разі користувачу треба бути більш обачним, аби не видати дозвіл, інакше в іншому випадку, його пристрій буде знаряддям для стеження.
Наразі Android 13 більше не дозволяє стороннім додаткам мати доступ до Accessibility Service. Це призведе до того, що вони будуть не в змозі показувати рекламу в фоновому режимі, блокувати екран, вести спостереження за дзвінками та повідомленнями. Також, користувачі не будуть бачити запит на доступ до цієї функції.
Як зазначають ІБ-експерти, всі ці віруси поки що на стадії розробки і працюють через раз. Але той факт, що вони з’явилися так швидко після релізу нового Android 13, дещо насторожує.
Експерти Bitdefender виявили в магазині Google Play 35 шкідливих програм, які розповсюджували небажану рекламу і які користувачі завантажили понад 2 000 000 разів.
Дослідники кажуть, що програми дотримувалися класичної тактики заманювання користувачів, вдаючи, що виконують якусь спеціалізовану функцію, а потім змінювали своє ім’я та знак після встановлення, що ускладнювало їх пошук та видалення пізніше. Як правило, шкідлива програма змінює іконку на шестерню і перейменовується в Налаштування, але іноді виглядає як системні програми Motorola, Oppo та Samsung.
Після проникнення на пристрій жертви, програми починають відображати нав’язливу рекламу, зловживаючи WebView і таким чином приносячи прибуток від реклами своїм операторам. Крім того, оскільки ці програми використовують власну структуру завантаження реклами, цілком імовірно, що на скомпрометований пристрій можуть бути доставлені додаткові шкідливі дані.
Небажана реклама, додана завдяки зловживанню функціоналом WebView
Виявлене шкідливе програмне забезпечення використовує кілька способів маскування, у тому числі намагається отримувати оновлення якомога пізніше, щоб надійніше замаскуватися на пристрої. Крім того, якщо жертва знаходить підозрілі налаштування і відкриває їх, запускається шкідливий додаток з розміром вікна 0, щоб сховатися від людських очей. Потім зловмисне програмне забезпечення відкриває меню реальних налаштувань, щоб користувач думав, що запускає реальну програму.
Аналітики відзначають, що шкідливе програмне забезпечення використовує складну обфускацію і шифрування, щоб утруднити зворотний інжиніринг і приховати основне корисне навантаження у двох зашифрованих файлах DEX.
Список найпопулярніших шкідливих програм (більше 100 000 завантажень) можна побачити нижче. У той же час потрібно сказати, що більшість з них вже видалені з офіційного магазину Google, але, як і раніше, доступні в сторонніх магазинах додатків, включаючи APKSOS, APKAIO, APKCombo, APKPure та APKsfull.
Art Filter – Deep Photoeffect 2.0 (gb.crediblefifty.editconvincingeight);
Fast Emoji Keyboard APK (de.eightylamocenko.editioneights);
Create Sticker for Whatsapp 2.0 (gb.convincingmomentumeightyverified.realgamequicksix);
Math Solver – Camera Helper 2.0 (gb.labcamerathirty.mathcamera);
Photopix Effects – Art Filter 2.0 (gb.mega.sixtyeffectcameravideo);
Led Theme – Colorful Keyboard 2.0 (gb.theme.twentythreetheme);
Animated Sticker Master 1.0 (am.asm.master);
Sleep Sounds 1.0 (com.voice.sleep.sounds);
Personality Charging Show 1.0 (com.charging.show);
Image Warp Camera;
GPS Location Finder (smart.ggps.lockakt).
Найкращий спосіб не стати жертвою – не встановлювати непотрібні програми. Ви також повинні видаляти програми, які не використовуються, перевіряти програми, які мають велику кількість завантажень і мало або взагалі не мають відгуків. Також варто з обережністю ставитися до додатків, які запитують спеціальні дозволи або не мають нічого спільного із запитами на доступ відносноз рекламованої функціональності.
У зв’язку зі святом Дня Незалежності України, 24 серпня, російські хакери можуть посилити атаки проти українців. Про це повідомляє Державна служба спеціального зв’язку. Повідомлення з таким зверненням було опубліковане в телеграм каналі і мало наступний зміст:
Незалежність та свобода України не дають спокою російським загарбникам. Саме у значні державні дати зазвичай активізується ворог. Тому ми очікуємо посилення атак з боку окупантів напередодні та в день відзначення найважливішого для українців державного свята – Дня Незалежності. І не тільки на полі бою, а й у кіберпросторі.”
Фахівці припускають, що в підвищеній зоні небезпеки знаходяться держслужбовці, працівники критичної інфраструктури, військові, та всі ті, хто можуть бути точкою доступу до інформаційних систем України.
Крім того, у Держспецзв’язку надали певні рекомендації, щодо запобігання ймовірної загрози.
Зокрема, потрібно замінити слабкі паролі на більш надійні, до всіх важливих облікових записів. За можливістю скористатися двофакторною аутентифікацією. Встановити всі оновлення програм на ПК та смартфонах. Просканувати пристої за допомогою антивірусних програм. Необхідно видалити всі російські програми, піратські програми, та ті які були дано встановленні і не несуть ніякого сенсу. На всі файли та документи слід зробити резервні копії, щоб в разі необхідності їх можна було відновити.
У державній службі також наголошують не завантажувати файли з невідомих джерел, які несуть сумнівний характер. Користувачі повинні бути пильні з повідомленнями на email, тому що, хакери частіш за все атакують через спам (розсилання небезпечних файлів).
“Пам’ятайте, що посилання на фішингові сайти можуть бути “замасковані” під привітання зі святом. Не переходьте за посиланнями, отриманими від незнайомців та навіть від друзів”, – зазначили у Держспецзв’язку.
Зловмисники можуть маскуватись під представників держорганів, тому в такому випадку потрібно бути більш обачними з адресами відправника. Не потрібно відкривати сумнівних вкладень і переходити за підозрілими посиланнями.
В Україні за липень 2022 року вже зареєстровано 203 ворожі кібератаки, про це повідомляє Укрінформ. Всі ці атаки налаштовані проти органів державного управління.
Quarkslab опублікували подробиці про критичну помилку, виявлену ними в чіпі Google Titan M в цьому році.
Нагадаємо, що Titan M, випущений у 2018 році, є системою-на-чіпі (SoC), призначеною виключно для обробки конфіденційних даних і процесів, таких як Verified Boot, шифрування диска, захист екрану блокування, безпечні транзакції та багато іншого. Зокрема, Titan M призначений для підвищення безпеки пристроїв Pixel, включаючи Secure Boot.
Фахівці Quarkslab кажуть, що виявлена ними вразливість отримала ідентифікатор CVE-2022-20233 та була усунена з виходом патчів для Android в червні місяці. Тоді Google описав цю помилку, як критичну проблему ескалації привілеїв.
За словами дослідників, ця вразливість пов’язана не тільки з підвищенням привілеїв, але і може використовуватися для виконання коду на мікросхемі Titan M. З технічної точки зору ця помилка є проблемою запису за межі виділеної пам‘яті, пов’язаної з некоректною перевіркою меж. При цьому у звіті наголошується, що використання цієї проблеми для локального підвищення привілеїв не потребує взаємодії з користувачем.
Quarkslab зауважує, що баг був виявлений при фазингу Titan M, коли було помічено, що «прошивка намагається записати 1 байт в нерозподілену область пам’яті». З’ясувалося, що повторення цієї дії провокує вхід за кордон і зрештою призводить до виникнення CVE-2022-20233.
Дослідники зазначають, що пам’ять Titan М є повністю статичною. Тому їм доводилося безпосередньо підключатися до UART-консолі, щоб отримати доступ до логів налагодження. Тільки після цього було створено експлойт, який дозволяв їм зчитувати довільну пам’ять з чіпа, красти секрети, що зберігаються там, а також отримувати доступ до завантажувального ПЗП.
“Одним із найцікавіших та найнебезпечніших наслідків цієї атаки є можливість отримати будь-який ключ, захищений StrongBox, зламавши найвищий рівень захисту Android Keystore. Як і TrustZone, ці ключі можна використовувати всередині Titan M тільки в тому випадку, якщо вони зберігаються в зашифрованому BLOB-об’єкті на пристрої.” — каже Quarkslab.
Дослідники повідомили Google про вразливість ще у березні 2022 року. Компанія випустила виправлення в червні і спочатку виплатила експертам лише 10 000 доларів як винагороду за виявлення помилок. Однак після надання експлойту, який демонструє виконання коду та крадіжку секретів, компанія збільшила винагороду до 75 000 доларів.
Цього року, Google зіштовхнувся з наймасштабнішою кібератакою за весь період свого існування, типу “відмова в обслуговуванні” (DDoS) за протоколом HTTPS.
Ця атака була проведена ще в червні, але прес-служба корпорації розповіла про все тільки зараз. Початок кібератаки припав на 1 червня о 09:45 по місцевому часу і припинена вона була близько о 10:54. Найбільш шокуючим явищем цієї атаки була кількість запитів за секунду, яка встановила 46 млн, хоча і починалося лише з 10 млн запитів. Хакери застосовували HTTPS-запити, які являються найдорожчими, так як для їх застосування потрібно більше ресурсів. І що найцікавіше, приходили вони з 5256 вихідних IP-адресів із 132 країн.
Це все одно, що отримувати всі щоденні запити у Вікіпедії (один із 10 найбільш доступних веб-сайтів у світі) всього за 10 секунд” — прокоментували співробітники Google Сатья Контуру і Еміль Кінер.
Але слід зауважити, що в 2020 році вже була проведена кібератака проти Google, яка вважалась самою масштабною кампанією і зачепила на той момент близько 32 млн користувачів. Атака проходила під виглядом шпигунських програм, які розповсюджувались безкоштовно під видом онлайн -перекладачів, конвертерів файлів та під розширенням безпеки. Ціль була в тому, щоб зібрати всю історію відвідувань сайтів користувачами та їхню приватну інформацію.
Шахраї використовували прості та дієві методи маскування. З їхньою мережею були пов’язані близько 15 тисяч доменних імен, які в свою чергу були зареєстровані у невеликого комапанії Ізраїля CommuniGal Communication Ltd.
Наразі Google обіцяє вдосконалити якість свого сервісу, аби не допустити подібного.
Нещодавно стало відомо про розповсюдження нового небезпечного файла, під назвою «Доповідь0507224.ppt». Про це докладає урядова команда реагування на комп’ютерні надзвичайні події України CERT-US, яка діє при Держспецзв’язку.
Даний файл містить в собі зображення-мініатюру, на якій згадується оперативне командування “Південь”. У Держспецзв’язку наголошують: “Відкриття цього файлу та активація макросу може призвести до запуску на комп’ютері шкідливої програми-стілера Agent Tesla, та до викрадення інформації.”
Це насправді так, тому що при відкритті цього небезпечного файла створюються файли “gksg023ig.lnk” та “sgegkseg23mjl.exe”, а також виконання LNK-файлу за допомогою rundll32.exe. Все це призведе до запуску згаданого EXE-файлу.
Виконуваний файл являється NET-програмою та обфускованою за допомогою ConfuserEx, який в свою чергу, здійснює пошук відповідного офсету, завантаження JPEG-файлу “thumb_d_F3D14F4982A256B5CDAE9BD579429AE7.jpg”, дешифрування та декомпресію даних, та запуск отриманої в результаті NET-програми MCMDiction.exe.
Після цих всіх перетворень (AES, Gzip, XOR, base64) із застосуванням стенографії , на комп’ютері буде активовано небезпечну программу-стілер Agent Tesla.
Дивлячись на імя на котент-приманку PPT-документу, фахівці припускають, що ця нова кібератака націлена зокрема на державні організації України.
Слід зазначити, що з початку повномасштабної війни російська федерація нанесла близко 796-ти кібератак проти України , але, як ми бачимо, це ще не кінець.
Сполучені Штати призупиняють співпрацю з Росією щодо зловмисників-вимагачів на тлі жорстокої війни, яку російський уряд веде проти України, повідомив речник Держдепу в інтерв’ю зі Sputnik.
«Російський уряд веде жорстоку та невиправдану війну проти України, тому наш канал співпраці щодо протидії злочинним акторам-вимагачам є неактивним», – сказав речник.
У четвер Білий дім повідомив про рішення російський уряд, як повідомив заступник секретаря Ради безпеки Росії Олег Храмов в інтерв’ю “Російській газеті”.
Найвідоміші у світі банди злочинців, що оперують програмами-вимагачами
І поки ми згадали тему, було б цікаво поговорити і про кіберзлочинців саме такого роду. За останні роки кримінальна екосистема програм-вимагачів стала реальною загрозою для користувачів у всьому світі.
Але завжди цікаво, що за завісою. І ми знайшли досить цікаву інформацію про те, кого можна назвати” мафією” світу кіберзлочинців.
І їх по-справжньому можна назвати мафією через те, наскільки добре вони організовані і які суми грошей вимагають у своїх жертв.
Деякі з них вже багато років працюють, а деякі з них лише нещодавно здобули популярність. Цей особливий вид кіберзлочинів еволюціонував із деяких найпростіших речей до цілих Копрорацій Зла.
Тут буде названо лише кілька імен, але ми впевнені, що ви їх десь вже чули.
Тепер зловмисники здебільшого націлені на високопоставлений бізнес, державний сектор та операторів інфраструктури, крім фізичних осіб. За даними дослідників криптовалют Chainalysis, у 2020 році жертви програм-вимагачів заплатили загалом до 350 мільйонів доларів, показник, що виріс на 311%.
Це постійно вдосконалююча професійна індустрія з широкими мережами афіліятів, чия робота полягає в дослідженні жертви, проникненні та веденні переговорів, а в центрі всього — банда, яка розробляє та керує шкідливим програмним забезпеченням; але є паритет або вони працюють як програма-вимагач як послуга (RaaS), або атакують безпосередньо жертв.
Програми-вимагачі як послуга або RaaS означає, що оператори шкідливого програмного забезпечення замість того, щоб самостійно використовувати шкідливе програмне забезпечення, продають його іншим кіберзлочинцям для використання.
BlackFog Global Ransomware Report – травень 2021 року
Минулого року постачальник безпеки BlackFog провів аналіз поширення зловмисного програмного забезпечення, яке використовується в атаках програм-вимагачів того ж року; аналіз показав десятку найбільших груп програм-вимагачів у 2021 році.
Незважаючи на те, що особи членів групи здебільшого невідомі, їх методи роботи та масштаби діяльності досить вражаючі.
Отже, аналіз показує наступне: у період з січня по травень 2021 року випадки загрози-вимагання у відсотку виявлених загроз належать REvil і Conti як найбільш поширених варіантів загроз у 2021 році.
Conti (також називається IOCP Ransomware)
Серед злочинних угруповань-вимагачів Conti займає одне з перших місць у списку. ФБР стверджує, що група здійснила понад 400 кібератак на організації по всьому світу. А їхні вимоги сягають 25 мільйонів доларів.
Хоча бути кращим з кращих не означає, що група гарантує повернення ваших файлів. Фахівці з кібербезпеки кажуть, що випадки, коли ця група відмовлялася повернути файли, навіть коли жертва заплатила викуп, не поодинокі.
Група має один з “найкращих портфоліо” жертв серед груп, які загрожують програмним забезпеченням-вимагачем, включаючи державні школи округу Бровард у Флориді з вимогою викупу в розмірі 40 мільйонів доларів, виконавча служба охорони здоров’я Ірландії , що спричинило великі затримки в прийомі пацієнтів.
Конті також напав на урядову установу в Шотландії та урядову раду в Новій Зеландії.
Приклад даних, злитих бандою
Конті відомий використанням техніки подвійного вимагання. Це означає, що вони не тільки шифрують дані, але й крадуть їх, щоб у майбутньому мати можливість погрожувати зливом даних тим, хто не бажає платити викуп жертвам.
Найбільший злив, зроблений Conti був з Advantech, виробника чіпів для пристроїв IoT. На підпільний веб-сайт Conti злив 3 ГБ даних.
Крім цього витоку, банда також опублікувала 20 файлів інформації з Шотландського агентства з охорони навколишнього середовища (SEPA), додавши, що це була лише невелика частина того, до чого насправді отримала доступ група.
REvil (також називається Содінокібі)
Згідно зі статтями Dark Reading, у період з січня 2021 року по липень 2021 року REvil був найпоширенішим варіантом програм-вимагачів, який здійснив 25% атак.
REvil — це приватна група програм-вимагачів як послуга (RaaS), яка відповідальна за кілька найгучніших атак програм-вимагачів у найбільших масштабах у світі.
Ця група демонструє не меншу “зажерливість”, ніж попередня. Згідно зі статтею Cyber Talk, група програм-вимагачів REvil атакувала щонайменше 360 організацій у США. Загалом банда також заробила понад 11 мільйонів доларів.
Дані, злиті бандою на власному блозі
Серед жертв угруповання – енергетична компанія Invenergy, постачальник програмного забезпечення Kaseya, технологічний гігант Acer, постачальник м’яса JBS і постачальник Apple Quanta Computer Inc.
Група REvil також використовує техніку подвійного вимагання, щоб одночасно зашифрувати та вкрасти дані. Це дає зловмисникам додаткову силу, щоб все ж таки змусити жертв сплатити необхідний викуп. Дані тих, хто відмовиться платити, з’являться на сайті групи Happy Blog. Вже кілька компаній по всьому світу мають свої вкрадені дані загальнодоступними на цьому сайті.
DarkSide Ransomware Gang
Походячи зі Східної Європи, ця банда програм-вимагачів на самому початку свого існування заробила собі ім’я. Вперше вона з’явилася в серпні 2020 року.
DarkSide працює як програма-вимагач як послуга (RaaS) і вже атакувала кілька організацій у 15 країнах. Незвичайним і дивним у цій банді є те, що вона одного разу пожертвувала вкрадені 10 000 доларів на благодійність.
Члени банди намагаються позиціонувати себе як етичних хакерів, заявляючи, що вони не атакують конкретні організації, такі як охорона здоров’я, критична інфраструктура, уряди, школи тощо.
І ще дивно те, що група навіть підтримує сервіс«обслуговування клієнтів», яке має забезпечити належне відновлення систем жертв після сплати викупу.
Викрадені дані злиті на сайті банди
Але рекламуючи себе як етичних хакерів, вони також використовують стратегію подвійного вимагання на випадок, якщо вони будуть мати справу з впертими жертвами.
Найвідомішим випадком є атака програм-вимагачів на компанію Colonial Pipeline, коли більше ніж на тиждень все східне узбережжя США було паралізоване. Наслідки цього нападу були настільки серйозними, що політики почали говорити про загрозу національній безпеці. Крім того, група викрала у компанії понад 100 ГБ корпоративних даних.
Clop Ransomware Group
Ще одна не менш відома група, відповідальна за атаки на університети Маямі і Колорадо, охоронну фірму Qualys, іпотечну компанію Flagstar Bank і виробника літаків Bombardier.
Дані злиті DarkSide на сайті злочинного інтернету
Але на відміну від інших груп програм-вимагачів, згаданих вище, ця розгортає механізм потрійного вимагання. Окрім шифрування даних та їх крадіжки, вони також погрожують клієнтам уражених компаній, сповіщаючи їх про порушення безпеки даних, а потім закликають клієнтів компаній змусити компанію сплатити викуп, щоб уникнути витоку їхніх особистих даних.
Що сказати наприкінці?
Звісно, це не дуже хороший знак, що канал співпраці між США та Росією закритий. Це означає, що навіть невеликі зусилля російського уряду, щоб зупинити діяльність кіберзлочинців-вимагачів на власній території, напевно будуть зведені нанівець.
Згодом це може дати «зелене світло» тим, кого раніше придушував російський уряд, а це означає, що більш важкі атаки програм-вимагачів чекають на американські підприємства та організації.
