«В интернете никто не знает, что ты собака».
Эти слова из знаменитого рисунка Питера Штайнера можно легко применить к недавней атаке с использованием программ-вымогателей (ransomware) на поставщика программного обеспечения Kaseya из Флориды (США). Компания Kaseya предоставляет услуги программного обеспечения тысячам клиентов по всему миру. Атака могла затронуть от 800 до 1500 предприятий среднего и малого бизнеса.
Хакеры потребовали $50 млн (ранее $70 млн) в обмен на полученную ими информацию. Эта атака программ-вымогателей была названа крупнейшей в истории. Предполагаемый виновник — российская киберпреступная организация REvil.
Несмотря на ее известность, никто не знает, что такое REvil, на что она способна и почему она делает то, что делает — за исключением непосредственной выгоды, которую она получает в виде огромных сумм денег. Кроме того, в атаках программ-вымогателей часто задействованы крупномасштабные распределенные сети, поэтому нет уверенности в том, что вовлеченные в них люди знают друг друга.
Число атак программ-вымогателей растет, и требования выкупа меняют представление об интернете. Понимание этих групп и их целей имеет решающее значение для победы над ними.
Ниже приведен список пяти наиболее опасных преступных организаций, действующих в интернете. Насколько нам известно, ни одно правительство не поддерживает и не спонсирует эти мошеннические группы.
DarkSide
DarkSide — это группа, которая в мае совершила атаку с использованием вымогательского ПО на компанию Colonial Pipeline, в результате которой была остановлена сеть распределения топлива в США, что вызвало опасения возникновения дефицита бензина. Судя по всему, эта группа впервые появилась в августе прошлого года. Ее целью являются крупные компании, которые могут пострадать от возможного отключения услуг, что важно, поскольку они с большей вероятностью заплатят выкуп.
Такие компании также обычно застрахованы от киберпреступности, что означает легкую прибыль для преступников. Бизнес-модель DarkSide заключается в предоставлении услуг шантажа. Другими словами, они пытаются проводить атаки с применением программ-вымогателей от имени других скрытых преступников, чтобы снизить их ответственность. Затем преступник и злоумышленник делят прибыль.
Киберпреступные группы также проводят обучение через форумы для тех, кто хочет улучшить свои навыки ведения киберпреступной деятельности. Это может включать обучение тому, как сочетать DDoS-атаки и программы ransomware для оказания давления на переговоры. Программы-вымогатели не позволяют компании обрабатывать прошлые и текущие заказы, а DDoS-атака блокирует все новые заказы.
REvil
Группа REvil, которая разрабатывает программы-вымогатели как услугу, сейчас находится в центре внимания из-за дела Kasey и недавней атаки на международную мясоперерабатывающую компанию JBS. Группа была особенно активна в 2020-2021 годах.
В апреле REvil похитила техническую информацию о еще не опубликованных продуктах Apple у Quanta Computer, тайваньской компании, занимающейся сборкой ноутбуков Apple. Для предотвращения раскрытия украденных данных требовался выкуп в размере $50 млн. Пока неизвестно, была ли выплачена эта сумма.
Clop
Группа Clop специализируется на «программах двойного выкупа». Это означает, что к организациям обращаются и требуют выкуп за ключ шифрования, который восстанавливает доступ организации к украденным данным. Однако жертвам приходится платить дополнительные денежные средства, чтобы предотвратить раскрытие информации.
Примеры показывают, что организации, которые однажды заплатили выкуп, с большей вероятностью заплатят его снова в будущем. Именно поэтому хакеры пытаются снова и снова атаковать одни и те же организации и каждый раз требуют все больше и больше денег.
Сирийская электронная армия
Сирийская электронная армия не является типичной киберпреступной группой, но она проводит кибератаки с 2011 года для продвижения политической пропаганды. Именно поэтому ее называют хАктивистской группой (hactivist group).
Хотя эта группа связана с режимом Башара Асада, скорее всего, она состоит из сторонников сети, которые пытаются помочь сирийской армии. Их метод заключается в распространении фейковых новостей через авторитетные источники. В 2013 году один твит, отправленный ими с официального аккаунта ведущего мирового агентства Associated Press, привел к крушению фондового рынка на миллиарды.
Сирийская электронная армия использует тот факт, что большинство пользователей интернета интерпретируют и реагируют на контент косвенно, исходя из доверия. Они являются хорошим примером того, что границы между преступными и террористическими группами в интернете не столь четкие, как в физическом мире.
FIN7
Если бы в этот список можно было включить «суперзлодеев», то это была бы FIN7. FIN7 — вторая группировка, действующая из России, и, вероятно, самая успешная киберпреступная организация за всю историю. Она действует с 2012 года и работает в основном как бизнес.
Многие из ее функций оставались незамеченными в течение многих лет. Хакеры используют сценарии перекрестных атак, в которых взлом служит более чем одной цели. Например, они могут облегчить шантаж с помощью программы-вымогателей и в то же время позволить злоумышленнику использовать информацию против жертв, например, перепродав ее третьей стороне.
В начале 2017 года утверждалось, что FIN7 стоит за атакой на компании, ответственные перед Комиссией по ценным бумагам и биржам США. Конфиденциальная информация использовалась для получения выкупа.
Таким образом, группы зарабатывали огромные суммы денег, торгуя конфиденциальной информацией. Инсайдерская торговля, ставшая возможной благодаря хакерским атакам, продолжалась годами, поэтому точную сумму финансового ущерба подсчитать невозможно. Однако, по оценкам, он превысил $1 млрд.