«Дело не в ценности похищенных данных, самый большой риск – в публичном заявлении о компрометации компании»
Как хакеры охотятся за персональными данными и что им противопоставить
Преступления в реальном и цифровом мире очень похожи: вор взламывает отмычкой дверь – хакер использует вредоносное программное обеспечение, чтобы получить удаленный доступ. Сейчас специалисты по кибербезопасности BI.ZONE отслеживают более 70 кластеров преступных группировок в Сети. О «волках», «гиенах» и «оборотнях» ландшафта киберугроз в России, размерах выкупов за похищенные данные и об искусственном интеллекте в кибербезопасности читателям RSpectr рассказывает руководитель BI.ZONE Threat Intelligence Олег Скулкин.
О «ЗВЕРЯХ», ИХ КЛАССИФИКАЦИИ И ГЛАВНЫХ ОХОТНИКАХ ЗА ПЕРСДАННЫМИ
– Почему в BI.ZONE решили разделить хакеров на «волков», «оборотней» и «гиен»?
Мы занимаемся поиском угроз, находим новые группировки, о которых нет информации в публичном пространстве. У каждого кластера активности есть свой уникальный набор методов, инструментов, своя инфраструктура – в общем, свой индивидуальный почерк. С помощью таксономии мы классифицируем эти кластеры. Это не новая практика: большие вендоры – Microsoft, CrowdStrike, Mandiant – также формируют свои таксономии. В России никто такого еще не делал, и мы решили стать первыми.
Название нашей компании, BI.ZONE, созвучно со словом «бизон», и именно это животное изображено на нашем логотипе. В дикой природе основными врагами бизонов являются волки. В нашей таксономии «волками» (Wolves) становятся финансово мотивированные хакеры. Именно они придумали эту схему – программы-вымогатели + выгрузка данных – которая активно работает в западных странах с 2019 года. В России группировки, у которых есть свои сайты, где появляется информация об организациях, которые не хотят платить, появились в конце 2022 года.
Для «волков» похищенные данные – это доказательство взлома ИТ-инфраструктуры компании. В дальнейшем украденные сведения становятся дополнительным рычагом давления. «Волки» публикуют информацию о взломах в том числе на теневых форумах: «Покупайте базу компании N, цена – 2 биткоина». В качестве демоверсии могут показать несколько строк из нее. Если покупателя не нашлось, то базу могут выложить в публичном пространстве просто так.
«Оборотни» (Werewolves) – это спонсируемые государствами злоумышленники. Они похищают информацию тайно, и об этом, скорее всего, знает очень ограниченный круг людей. Ведь цель оборотней – находиться в скомпрометированной инфраструктуре как можно дольше, выгружать не гигабайты баз данных, а конкретные документы. Фактически это разведывательные операции.
Но главные охотники за данными, в том числе персональными, – это хактивисты. В какой-то момент их стало очень много, и мы выделили их в отдельную таксономию – «гиены» (Hyenas). Почему «гиены»? Они любят что-то взломать, выложить в какой-нибудь Telegram-канал и посмеяться: «Ха-ха, смотрите, мы опять их поломали, вот вам данные, вот еще…» Их интересует объем сведений и публикация с максимальным шумом.
В международной практике известны кейсы, когда самые ценные данные, похищенные хактивистами, не публиковались, а передавались каким-то спецслужбам. Также политически мотивированные злоумышленники любят проводить DDoS-атаки.
СПРАВКА
Олег Скулкин
руководитель BI.ZONE Threat Intelligence
- Более 10 лет опыта реагирования на инциденты, более пяти – в киберразведке.
- Автор и соавтор шести книг по цифровой криминалистике, реагированию на инциденты и киберразведке, а также большого количества исследований киберугроз.
- Сертифицирован GIAC: GCTI и GCFA.
- Спикер российских и международных профильных конференций, в том числе SANS DFIR Summit, SANS STAR, CactusCon, OFFZONE и других.
– В последнее время хактивисты-«гиены» перешли к целевым атакам, почему?
Хактивизм как политически мотивированная деятельность в цифровом пространстве появился не в феврале 2022 года. Это явление возникает в конфликтных ситуациях, причем широкого диапазона – от политических противоречий до борьбы с загрязнением окружающей среды. Сейчас, например, хактивисты активны на фоне обострения палестино-израильского конфликта.
Действительно, в последнее время хактивисты, действующие в России, снизили активность. Дело в том, что их деятельность должна подогреваться, и, судя по тому, что они переключаются на целевые, финансово мотивированные атаки, их финансовая подпитка истощается.
Надо понимать, что четкого деления хакеров по задачам нет: их деятельность носит, как правило, многоплановый характер.
За последние два года в Сеть утекло огромное количество данных, в том числе персональных. Дело не в ценности похищенных данных, самый большой риск – в публичном заявлении о компрометации компании.
– Почему в BI.ZONE не отслеживают, к каким странам принадлежат группировки хакеров? Это действительно сложно сделать?
Даже если сама группировка заявляет о том, что представляет интересы определенной страны, это совершенно не значит, что так оно и есть. Часто это не более чем обманный прием.
В определенных ситуациях можно атрибутировать группировку к какой-то стране. С точки зрения «кого атакуют» все гораздо проще, для этого есть мониторинг и реагирование на инциденты. В телеметрии онлайн-сервисов проверки файлов видно, откуда были загружены вредоносные файлы. Но откуда эти файлы попали в эту страну, неизвестно, ведь сервер можно арендовать где угодно и у кого угодно купить ВПО. Наконец, можно кого-то использовать втемную: скомпрометировать машины на территории определенной страны и использовать их для дальнейших атак.
Кроме того, группировки хакеров зачастую состоят из граждан разных стран. В целом атрибуция злоумышленников по странам характерна для спонсируемых государствами хакеров. Также эти люди, как правило, не знают друг друга в лицо, не знают реальных имен. Это безопаснее, ведь при аресте они смогут назвать лишь ники на специализированных форумах.
О ТЕХНИКАХ АТАК
– Сколько в среднем проходит времени между проникновением хакеров в ИТ-контур и моментом, когда компания об этом узнает?
У нас данные о 25 днях в среднем по России. Но, как говорится, есть нюансы. Если «волки» используют программы-вымогатели, то действуют быстро, но шумно. Они не заморачиваются над тем, чтобы оставаться подольше в сети компании, их легче обнаружить. В целом финансово заинтересованные злоумышленники отдают предпочтение скорости. Время – деньги.
Задача «оборотней» – оставаться в системе как можно дольше. В моей практике максимальное количество времени, когда они находились в инфраструктуре одной российской организации, составило восемь лет.
Когда резервные копии уничтожены, инфраструктура уничтожена, компания может просто закрыться, поэтому ее руководители соглашаются на выкуп. Жертве «оборотни» передают декриптор, то есть ПО, помогающее расшифровать файлы. Это важный момент для злоумышленников, потому что если декриптор не будет работать, то онлайн сарафанное радио разнесет эту весть по всей Сети и этой группировке перестанут платить.
При этом есть известные группировки, которые всегда отдают отмычки. Но бывают и непонятно откуда взявшиеся группы, которые зашифровали инфраструктуру неизвестно чем, потом исчезли – и как это все вскрывать?
В целом в 95% случаев злоумышленники передают декриптор после выплаты выкупа. Иногда могут даже предоставить жертве отчет, как взломали его ИТ-систему. Это может помочь расследовать инцидент.
Как бы то ни было, мы рекомендуем никогда не выплачивать выкуп, потому что это служит для преступников поощрением и побуждает их атаковать новые компании.
– Какой способ получения доступа в ИТ-системы организаций вы бы назвали самым популярным?
Наиболее популярным остаются фишинговые рассылки: с них начинается около 70-80% всех атак. Почему так получается? Потому что проблема не в технологиях, человек – это самое слабое звено в киберзащите. Фишинговую рассылку можно отправить сразу большому количеству сотрудников этой организации – это повышает вероятность, что хотя бы несколько человек откроют ее.
Из нашей практики могу вспомнить случай, когда более чем в 400 организаций было отправлено письмо, которое начиналось со слов «Уважаемый господин!». Несмотря на странное приветствие, люди открывают это письмо, загружают и запускают вредоносные вложения. Это в очередной раз доказывает популярность фишинговых рассылок: они рассчитаны на невнимательность, нехватку времени, на то, что люди не будут вчитываться в текст и проверять адрес, с которого пришло такое письмо, а просто кликнут по нему. В общем, ставка делается на человеческий фактор.
Самое интересное, что это работает и в обратную сторону. Автоматикой невозможно противодействовать человеку. Успешные атаки реализовывает человек, дальше он двигается по внутренней сети. Во многих организациях нет мониторинга: люди не противодействуют людям. А вот при работе центра мониторинга информационной безопасности (SOC) злоумышленники обнаруживаются максимум на третьем этапе атаки из десяти, когда они еще не успели нанести ущерб.
Ранее, когда атаки были автоматизированными, можно было поставить антивирус. Но когда в цепочке атак появились люди, превентивными средствами защиты уже не обойтись.
О ВЫКУПЕ И АППЕТИТАХ ХАКЕРОВ
– На презентации отчета Threat Zone 2024 вы рассказывали о группировке Shadow Wolf, которая требовала от своей жертвы выкуп за похищенные данные в размере 450 млн рублей, а их минимальный «прайс» составлял 1 млн долларов. Откуда берутся суммы выкупов?
Финансово мотивированный кластер Shadow Wolf нанес ущерб большому количеству ИТ-систем российских компаний в 2023 году. Точное число не скажу, но, думаю, несколько десятков точно. Действия группировки напоминали почерк хакеров, взломавших американскую трубопроводную систему Colonial Pipeline в 2021 году. Shadow Wolf проникала в системы с помощью сервисов удаленного доступа и легитимных учетных записей, но не использовала фишинг. Оказавшись в контуре, она стремилась получить полный контроль, удаляла резервные копии, выгружала данные, но никогда их не публиковала, а показывала хозяевам и требовала выкуп.
Объем выкупа берется не с потолка, а зависит от финансовых достижений компании. Большая сумма показывает серьезность намерений злоумышленников. После взлома выгружается отчетность организации, отталкиваясь от нее, они и формируют требования. Обычно выкуп составляет порядка 1–5% от годовой выручки.
Но есть большое количество кластеров, которые попадают в ИТ-контуры через серверы удаленного доступа. Их цель – небольшие организации, которые могут заплатить один миллион или даже несколько тысяч рублей выкупа.
ОБ ИЗМЕНЕНИИ ПОДХОДОВ К КИБЕРБЕЗОПАСНОСТИ
– Известны ли какие-нибудь случаи возмещения убытков подрядчиками, не исполнившими своих обязательств по защите информации? Как подстраховаться от нерадивого ИБ-подрядчика?
Сейчас все чаще крупные компании требуют от контрагентов подписывать соглашения, в которых прописаны основные пункты по защите данных. Это нужно для того, чтобы защититься от атак на цепочку поставок, чтобы никто не мог, атаковав поставщика, через него проникнуть непосредственно в инфраструктуру заказчика. Что касается соответствующих страховок, они действительно появились с 2019 года, когда начались атаки с программами-вымогателями. Но процедуры в киберстраховании очень сложные, и многие российские организации предпочитают вместо этого вкладываться в развитие собственной кибербезопасности.
За рубежом рынок киберстрахования получил импульс в 2019 году на фоне пандемии после массового распространения практики публикаций после атак на компании. В новостях постоянно упоминали о том, что зашифровали ИТ-инфраструктуру большой и известной компании, а это мощный удар по репутации. Суммы выкупов, которые обычно запрашивают в криптовалюте, достигают 20–30 млн долларов. У нас подобные сообщения появляются, но гораздо реже.
– Хорошо налаженная киберзащита обходится недешево. Что делать среднему и малому бизнесу при защите от утечек, если средств, как обычно, не хватает?
Защитить большую компанию намного сложнее, чем скромную по размерам, потому что там больше векторов атак. Сейчас для большинства малых и средних компаний есть вполне доступные пакеты и специальные тарифы. Самостоятельно они точно не смогут обеспечить кибербезопасность, и им может быть трудно найти хороших специалистов в штат. Единственный выход для малого и среднего бизнеса в этом деле – внешние сервисы.
– Замечаете ли вы повышение общего уровня информационной безопасности российских организаций?
Да, гораздо серьезнее начали относиться к этой теме. Когда стало больше атак, все захотели избежать ущерба. Это как если вспыхивает эпидемия, люди начинают беспокоиться о здоровье. Если ничего не происходило, зачем мне тратить деньги на оборудование, софт, специалистов? Но когда подсчитают ущерб, нанесенный простоем, и выясняют, что он больше, чем стоят все лицензии за пять лет, тогда к кибербезу приходят быстрее. После этого компанию становится труднее взломать, потому что у нее появляется комплексная система кибербезопасности.
Пока сложно спрогнозировать, как изменятся кибератаки после ужесточения ответственности за утечки персональных данных. В странах ЕС после введения Общего регламента по защите данных (GDPR) некоторые вымогатели стали активнее угрожать публикацией похищенных данных, за которую придется выплачивать штраф. С другой стороны, такие меры побуждают компании усиливать собственную защиту и внимательнее относиться к вопросам кибербезопасности.
ОБ ИСКУССТВЕННОМ ИНТЕЛЛЕКТЕ И БУДУЩИХ УГРОЗАХ
– Как вы оцениваете эффективность искусственного интеллекта (ИИ) в поиске утечек данных и в целом в кибербезопасности?
Искусственный интеллект избавляет специалистов от рутинных задач. Как правило, таких задач много на первой линии обработки данных в SOC. Это своего рода группа быстрого реагирования, задача которой – оперативно обрабатывать информацию из разных источников, выявлять реальные инциденты кибербезопасности и отсеивать ложные срабатывания систем. Специалистам бывает трудно обрабатывать огромные массивы данных. ИИ редко ошибается, если его правильно учить на датасетах, подготовленных хорошими аналитиками. Тем не менее нейросеть тоже может ошибаться, и ее надо обязательно проверять.
Наш SOC обрабатывает большое количество алертов, то есть сработок детектирующих правил, которые показывают, что произошла какая-то аномальная активность. За прошлый год таких алертов было более 580 тыс. Аналитики определяют, похожа ли эта активность на вредоносную, так как злоумышленники часто маскируют свои методы под легитимные и формируют датасеты. На их основе в BI.ZONE обучают нейросети.
Наши оппоненты абсолютно точно используют генеративные модели, такие как ChatGPT. На теневых форумах продавали WormGPT – альтернативный ChatGPT без этических границ и ограничений, он помогает хакерам создавать вредоносное ПО и составлять фишинговые письма.
Опять-таки по косвенным признакам можно определить деятельность ИИ. Например, очень грамотно написанное фишинговое письмо составлено явно не человеком.
– На какие атаки нужно обратить особенное внимание в этом году? В каком направлении кибератаки будут развиваться в ближайшие годы?
Типы атак не особо изменятся. Иногда злоумышленники придумывают что-то новое, как, например, с легкой руки хакерской группы Maze в 2019 году к выгрузке данных прибавили угрозы опубликовать данные. Ноу-хау было быстро подхвачено остальными хакерами. В России этот прием распространился в конце 2022 года.
В целом интересы финансово мотивированных хакеров стабильны. Банковские приложения – интересная цель, но атаковать их непросто, нужны подставные, но легитимные счета, на которые будут переводиться украденные деньги. Не потеряет популярности охота за криптовалютой, рассылка стилеров – вредоносного ПО, предназначенного для кражи логинов и паролей, других ценных данных, а также криптовалюты. Промышленный шпионаж, программы-вымогатели, шифровальщики – все это никуда не денется. Также политически мотивированный хактивизм, несмотря на некоторое увядание, окончательно не исчезнет.
Тимур Халудоров
Изображение: BI.ZONE