Банды Ransomware и отвлекающая игра с именами

Приятно, когда у банд вымогателей крадут биткоины, закрывают серверы вредоносного ПО или иным образом вынуждают их расформироваться. Мы держимся за эти редкие победы, потому что история говорит нам, что большинство групп, зарабатывающих деньги на выкупе, не исчезают, а возрождаются под новым именем, с новыми правилами, целями и оружием. Действительно, некоторые из самых разрушительных и дорогостоящих групп, занимающихся распространением вымогательских программ, сейчас находятся в своей третьей инкарнации.

Примерная хронология основных операций с вымогательским ПО и их предполагаемых связей с течением времени.

Изобретение – это основной навык выживания в киберпреступном бизнесе. Один из самых старых трюков в этой книге – инсценировать свою кончину или уход на пенсию и придумать себе новую личность. Основная цель таких уловок – сбить следователей со следа или временно переключить их внимание на другое место.

Киберпреступные синдикаты также совершают подобные акты исчезновения, когда им это удобно. Такие организационные перезагрузки дают лидерам программ по борьбе с вымогательством возможность установить новые правила для своих членов – например, какие типы жертв запрещены (например, больницы, правительства, объекты критической инфраструктуры) или на какой размер выкупа должен рассчитывать филиал за предоставление группе доступа к новой сети жертв.

Я собрал приведенный выше график, чтобы проиллюстрировать некоторые из наиболее заметных изобретений банд выкупа за последние пять лет. На нем не показано то, что мы уже знаем о киберпреступниках, стоящих за многими из этих, казалось бы, разрозненных групп, некоторые из которых были пионерами в области ransomware почти десять лет назад. Мы расскажем об этом подробнее во второй половине статьи.

Одна из самых интригующих и недавних перестроек связана с DarkSide, группой, которая в начале этого года получила выкуп в размере 5 миллионов долларов США от компании Colonial Pipeline, а затем увидела, как большая часть этой суммы была возвращена в ходе операции Министерства юстиции США.

Признав, что кто-то также захватил их интернет-серверы, DarkSide объявила о своем прекращении деятельности. Но чуть больше месяца спустя появилась новая партнерская программа по борьбе с вымогательством под названием BlackMatter, и эксперты быстро определили, что BlackMatter использует те же уникальные методы шифрования, что и DarkSide в своих атаках.

Кончина DarkSide примерно совпала с кончиной REvil, давней группы разработчиков программ-выкупов, которая утверждает, что вымогала у жертв более 100 миллионов долларов. Последней крупной жертвой REvil стала компания Kaseya из Майами, чьи продукты помогают системным администраторам удаленно управлять большими сетями. Эта атака позволила REvil распространить программы-вымогатели на 1500 организаций, использующих Kaseya.

REvil потребовала 70 миллионов долларов за выпуск универсального дешифратора для всех жертв атаки на Kaseya. Всего несколько дней спустя президент Байден, как сообщается, сказал президенту России Владимиру Путину, что он ожидает от России действий, когда Соединенные Штаты поделятся информацией о конкретных россиянах, вовлеченных в деятельность по распространению программ-вымогателей.

Записка с требованием выкупа от REvil.

Побудил ли этот разговор к действиям, неизвестно. Но блог REvil, в котором осуждались жертвы, исчезнет из темной паутины всего через четыре дня.

Марк Арена, генеральный директор компании Intel 471, занимающейся анализом киберугроз, говорит, что пока неясно, является ли BlackMatter командой REvil, действующей под новой вывеской, или это просто реинкарнация DarkSide.

Но одно ясно, сказал Арена: “Скорее всего, мы увидим их снова, если только они не были арестованы”

Вполне вероятно, действительно. REvil многие считают перезагрузкой GandCrab, банды, занимавшейся распространением вымогательского ПО, которая хвасталась тем, что вымогала более 2 миллиардов долларов за 12 месяцев, прежде чем внезапно закрыла магазин в июне 2019 года. “Мы – живое доказательство того, что можно творить зло и остаться безнаказанным”, – хвастался Gandcrab.

И вы бы не знали: Исследователи обнаружили, что GandCrab имеет общие черты поведения с Cerber– ранней программой-вымогателем, которая перестала находить новых жертв примерно в то же время, когда появился GandCrab

ХОРОШЕЕ ГОРЕ

Последние несколько месяцев были напряженным временем для групп ransomware, стремящихся к ребрендингу. BleepingComputer недавно сообщил, что новый стартап вымогательского ПО “Grief” – это всего лишь последняя версия DoppelPaymer, штамма вымогательского ПО, который разделяет большую часть своего кода с более ранней итерацией 2016 года под названием BitPaymer.

Все три эти операции по выкупу исходят от плодовитой киберпреступной группы, известной под различными названиями TA505, “Indrik Spider” и (возможно, наиболее запоминающейся) Evil Corp. По данным компании CrowdStrike, Indrik Spider была сформирована в 2014 году бывшими членами преступной сети GameOver Zeus, которые внутри организации называли себя “Бизнес-клуб”

The Business Club – печально известная восточноевропейская организованная киберпреступная группировка, обвиняемая в краже более 100 миллионов долларов у банков и предприятий по всему миру. В 2015 году ФБР предложило вознаграждение в размере 3 миллионов долларов за информацию, которая поможет поймать лидера “Бизнес-клуба” – Евгения Михайловича Богачева. К тому времени, когда ФБР назначило цену за его голову, троян Zeus Богачева и его последующие варианты заражали компьютеры уже почти десять лет.

Предполагаемый автор трояна ZeuS Евгений Михайлович Богачев. Источник: ФБР

Богачев намного опередил своих коллег в борьбе с ransomware. Его ботнет Gameover Zeus был одноранговой преступной машиной, которая заразила от 500 000 до миллиона компьютеров под управлением Microsoft Windows. В течение 2013 и 2014 годов на ПК, зараженные Gameover, распространялся Cryptolocker, ранний, многократно копировавшийся штамм вымогательского ПО, автором которого предположительно был сам Богачев.

CrowdStrike отмечает, что вскоре после создания группы Indrik Spider разработала собственную вредоносную программу под названием Dridex, которая стала основным вектором распространения вредоносного ПО, закладывающего основу для атак с целью выкупа.

“Ранние версии Dridex были примитивными, но с годами вредоносная программа становилась все более профессиональной и сложной”, – пишут исследователи CrowdStrike. “Фактически, операции Dridex были значительными на протяжении 2015 и 2016 годов, что делает его одним из самых распространенных семейств вредоносных программ для электронной преступности”

Этот отчет CrowdStrike датируется июлем 2019 года. В апреле 2021 года эксперты по безопасности из Check Point Software обнаружили, что Dridex по-прежнему является самым распространенным вредоносным ПО (второй месяц подряд). По словам Check Point, Dridex распространяется в основном через хорошо составленные фишинговые электронные письма – например, недавняя кампания, которая подделала QuickBooks, – и часто служит начальной точкой опоры злоумышленников в атаках на выкупное ПО в масштабах всей компании.

РЕБРЕНДИНГ В ОБХОД САНКЦИЙ

Еще одно семейство программ-вымогателей, связанное с Evil Corp. и бандой Dridex, – WastedLocker. Это последнее название штамма программ-вымогателей, который с 2019 года несколько раз подвергался ребрендингу. Именно тогда Министерство юстиции назначило вознаграждение за голову Evil Corp. в размере 5 миллионов долларов, а Управление по контролю за иностранными активами Министерства финансов США (OFAC) заявило о готовности наложить крупные штрафы на всех, кто заплатит выкуп этой киберпреступной группировке.

Предполагаемый лидер Evil Corp Максим “Aqua” Якубец. Изображение: ФБР

В начале июня 2021 года исследователи обнаружили, что банда Dridex снова пытается морфироваться в попытке обойти санкции США. Драма началась, когда в мае группа Babuk ransomware объявила о создании новой платформы для вымогательства утечки данных, которая должна была привлечь группы ransomware, у которых еще нет блога, где они могут публично пристыдить жертв, заставляя их платить, постепенно раскрывая украденные данные.

1 июня Babuk изменил название своего сайта утечек на payload[dot]bin и начал сливать данные жертв. С тех пор многие эксперты по безопасности заметили еще одну версию WastedLocker, которая, по их мнению, является вымогательской программой под брендом payload.bin.

“Похоже, на этот раз EvilCorp пытается выдать себя за Babuk”, – написал Фабиан Восар, директор по технологиям в компании Emsisoft. “В то время как Babuk выпускает свой портал утечки PayloadBin, EvilCorp снова переименовывает WastedLocker в PayloadBin, пытаясь обманом заставить жертв нарушить правила OFAC”

Эксперты быстро отмечают, что многие киберпреступники, занимающиеся распространением программ-выкупов, являются аффилированными лицами более чем одной отдельной операции по распространению программ-выкупов как услуги. Кроме того, как правило, большое количество аффилированных лиц переходят в конкурирующие группы по борьбе с вымогательским ПО, когда их существующий спонсор внезапно прекращает свою деятельность.

Все вышесказанное позволяет предположить, что успех любой стратегии борьбы с эпидемией ransomware в значительной степени зависит от способности обезвредить или задержать относительно небольшое число киберпреступников, которые, как оказалось, носят множество обличий.

Возможно, именно поэтому администрация Байдена заявила в прошлом месяце, что предлагает вознаграждение в размере 10 миллионов долларов за информацию, которая приведет к аресту банд, стоящих за схемами вымогательства, а также за новые подходы, облегчающие отслеживание и блокирование криптовалютных платежей.

Оставьте комментарий