CarderPlanet
Professional
Основные выводы
Фон
Поскольку в 2020 году прибыль от атак программ-вымогателей выросла почти до 370 миллионов долларов, экосистема сопутствующих сервисов и участников продолжает подвергаться все большей профессионализации. В этом контексте можно выделить три основные группы соответствующих участников:
В переписке, предоставленной Signature, UNKN использует прозвище «8-800-555-35-35», Signature использует прозвище «Premium», а филиал UNKN использует прозвище evil_genius. В целях согласованности и ясности в этом отчете участники ссылаются на их учетные записи на форуме. Все эти три актера говорят по-русски, и их переписка в основном происходит на русском языке.
Подпись отправляла переписку между собой (используя прозвище «Premium») и UNKN (используя прозвище «8-800-555-35-35») на высокоуровневый форум в темной сети. В приведенной выше части переписки qTox актеры начинают обсуждение выкупа от Quanta Computer.
Вовлеченные участники: группа по программам-вымогателям, консультант и аффилированное лицо.
За последние шесть месяцев Signature создала несколько сообщений на темном веб-форуме, посвященных атакам программ-вымогателей и их консультационным услугам. Эти сообщения включали в себя общую рекламу их услуг и конкретные ответы участникам программ-вымогателей, ищущим переговорщиков для компаний-жертв, в том числе потерпевшей компании из Саудовской Аравии. Кроме того, Signature разместила предложения о работе для технических специалистов, обладающих следующими навыками, связанными с атаками программ-вымогателей:
В сообщении на темном веб-форуме Signature рекламирует свои услуги консультанта по программам-вымогателям и ищет пентестера, который присоединится к их команде.
UNKN выступает в качестве основного представителя группы вымогателей REvil (также известного как «Sodinokibi») на форумах темной сети. Группа вымогателей REvil впервые появилась в мае 2019 года и заработала репутацию одной из самых известных подобных групп. Как описано в нашем недавнем отчете о программе-вымогателе как услуга (RaaS), REvil в основном работает через «аффилированных лиц», которые арендуют доступ к программе-вымогателю REvil и используют его для шифрования данных компаний после того, как они получили полный доступ к жертве.
В том же отчете Gemini обнаружил, что UNKN часто публикует сообщения на форумах в даркнете, ища новых аффилированных членов REvil с различными знаниями. Хотя изначально это, казалось, указывало на то, что REvil намеревался увеличить масштабы своей деятельности, UNKN в переписке с Signature сообщила, что большое количество аффилированных лиц REvil «отказались» от программ-вымогателей после получения значительной преступной прибыли. В результате UNKN заявил, что REvil в настоящее время имеет только пять команд, и только две или три из них могут провести атаку, которую они обсуждали.
В конечном итоге переписка показывает, что UNKN связали Signature со своей «сильнейшей командой», которая оказалась единственным русскоязычным филиалом, работающим под псевдонимом «evil_genius». В переписке с Signature evil_genius написал, что они занимались промышленным шпионажем в течение 20 лет, но теперь единолично получают доступ к громким организациям для атак программ-вымогателей.
В ходе переписки evil_genius раскрыл, что они стоят за недавними атаками на Quanta Computer и Apex America; эти атаки программ-вымогателей станут источником спора о платежах программ-вымогателей. Кроме того, evil_genius указал, что у них также есть сетевой доступ к гораздо более крупным компаниям на Тайване, но отметил, что строгие законы о борьбе с отмыванием денег вызывают проблемы с выплатой выкупа с Quanta Computer. evil_genius также отметил, что это одна из причин, почему они не хотят продолжать атаки программ-вымогателей против других компаний на Тайване.
Подпись опубликовала переписку между собой (используя прозвище «Премиум») и evil_genius на высокоуровневом форуме в темной сети. В приведенной выше части переписки qTox evil_genius указывает, что они были хакерами, стоящими за атакой программы-вымогателя на Quanta Computer.
Кроме того, evil_genius указал, что у них была возможность остановить один из производственных процессов своей жертвы, но они не хотели наносить такой ущерб компании. Тем не менее, evil_genius утверждал, что они были готовы остановить производство в будущем, если возникнут дальнейшие задержки с выплатой выкупа. Этот актер дополнительно указал, что у них есть доступ к китайской компании, и заявил, что она входит в тройку ведущих производителей матриц для дисплеев в мире. Evil_genius продолжает указывать, что они могут ориентироваться на крупные компании с прибылью более 1 миллиарда долларов и высокими темпами роста, прогнозируемыми в следующие 5 лет.
Что такое консультанты по программам-вымогателям?
Группы программ-вымогателей продолжают расширять свою деятельность, нарушая работу предприятий и угрожая национальной безопасности стран. На этом фоне все большее число участников и организаций даркнета рекламируют свои услуги как «консультантов по программам-вымогателям». В то время как законные консультанты могут консультировать компании по маркетинговым стратегиям, консультанты по программам-вымогателям предлагают жертвам исследований собирать информацию для реалистичных требований выкупа и вести переговоры от имени группы программ-вымогателей. В недавнем споре на высокопоставленном форуме дарквеба актер Сигнатура заявила, что сотрудничает с неустановленной «аутсорсинговой компанией» для предоставления этих консультационных услуг по программам-вымогателям.
Рабочий процесс сотрудничества между злоумышленниками и консультантами, описанный в Signature.
В сообщениях Signature, касающихся спора, и в переписке с участниками REvil, Signature утверждала, что они и «аутсорсинговая компания» предоставляют две основные услуги: 1) анализ потенциальных жертв для определения наиболее прибыльной цели и 2) расследование и ведение переговоров с потерпевшими. компании. В рамках первой услуги консультанты по программам-вымогателям анализируют потенциальных жертв, чтобы выяснить, может ли жертва заплатить выкуп и какой размер выкупа жертва может позволить себе заплатить. Со вторым сервисом консультанты по программам-вымогателям:
Эти услуги консультантов по программам-вымогателям помогают группам программ-вымогателей защищать платежи с помощью проверенных временем тактик ведения переговоров:
Актеры-вымогатели раскрывают инструменты и тактику
В переписке между Signature и evil_genius и переписке между Signature и UNKN актеры ходят туда-сюда, обсуждая инструменты и тактики, которые они предпочитают использовать после получения доступа к сети жертвы. Как показано на диаграмме ниже, Signature описывает довольно стандартный процесс атаки для хакеров: повышение привилегий пользователей, получение учетных данных, получение доступа к администратору домена, использование частного граббера для получения паролей администратора и развертывание программного обеспечения BloodHound для отображения сети. Интересный аспект обсуждения проистекает из конкретной тактики, сроков и инструментов, которые участники обсуждают на каждом этапе процесса атаки.
Рабочий процесс и инструменты атаки программ-вымогателей, обсуждаемые Signature и evil_genius. Пузырьки, отмеченные буквой «e», указывают на предложения evil_genius, а пузыри, отмеченные буквой «s», указывают на предложения подписи.
Подпись указывает, что на начальном этапе атаки критически важно избегать шифрования компьютеров основных пользователей и вместо этого уделять приоритетное внимание поиску крупных серверов, содержащих ключевую информацию, такую как схемы AutoCAD. По оценке Signature, этот шаг может занять у опытного хакера 2-3 недели. Кроме того, в Signature указано, что хакеры должны найти все подсети, в которых системные администраторы обычно скрывают резервные копии, отмечая, что особенно важно идентифицировать резервные копии, записанные на магнитных лентах. В конечном итоге Signature указала, что группам программ-вымогателей и аффилированным лицам требуется опытный хакер с опытом работы системного администратора сети, чтобы должным образом идентифицировать критически важную информацию в сети и все резервные копии, которые могут быть скрыты в подсетях.
evil_genius указал, что они боролись с антивирусом Symantec при попытке повысить привилегии, потому что их вредоносное ПО не имело сертификата подписи кода EV. Примечательно, что в темной сети есть несколько сервисов, которые предлагают сертификаты подписи кода EV для любого программного обеспечения. Подпись указала, что Zerologon может быть использован впоследствии для повышения привилегий в сети.
evil_genius утверждал, что во время одной из своих недавних атак с использованием программ-вымогателей они смогли отслеживать действия, предпринятые известной компанией по кибербезопасности, чтобы противодействовать их присутствию в сети жертвы.
Чтобы гарантировать, что хакеры могут оставаться незамеченными в сети жертвы в течение «лет», Сигнатура отметила, что хакеры могут добавить модификацию TeamViewer для создания скрытых соединений с помощью перехватчиков и внедрения процессов. evil_genius добавил, что в системах часто есть незащищенные уязвимости, которые администраторы пренебрегают исправлением, предоставляя хакерам ключи, чтобы они оставались в системе.
Заключение
Спор в даркнете между Signature, UNKN и evil_genius предложил необычно открытый взгляд на то, как широко известная «профессионализация» программ-вымогателей привела к росту смежных служб, в том числе консультантов по программам-вымогателям и переговорщиков на стороне киберпреступников. С недавним вниманием общественности к программам-вымогателям в свете недавней атаки Colonial Pipeline, даже форумы даркнета пытались дистанцироваться от групп программ-вымогателей, чтобы ограничить нежелательное внимание правоохранительных органов к группам вымогателей. В этом контексте прибыльных платежей за программы-вымогатели, но более высоких рисков юридических последствий и более надежных услуг по исправлению программ-вымогателей, услуги, предоставляемые консультантами по программам-вымогателям, - от предоставления рекомендаций целям, которые вряд ли вызовут сильную реакцию со стороны национальных правоохранительных органов, до предоставления информации о том, как оказать большее давление на них. жертвы - продемонстрировать способность участников программ-вымогателей постоянно развиваться в погоне за прибылью.
Такое понимание стратегий команд-вымогателей также указывает на их уязвимости. Самое поразительное, что evil_genius выразил нежелание атаковать крупные тайваньские компании с помощью программ-вымогателей из-за строгих законов Тайваня о борьбе с отмыванием денег. Хотя это не полностью защитило тайваньские компании от атак программ-вымогателей, оно демонстрирует, что даже самые способные хакеры считают непрактичным нацеливаться на организации, связанные законами, которые снижают вероятность их выплаты выкупа. Страна, которая стремится предотвратить атаки программ-вымогателей на компании или организации, находящиеся под ее юрисдикцией, может найти Тайвань полезным шаблоном для принятия законов, которые не стимулируют наиболее активных злоумышленников в даркнете.
- Недавний «публичный» спор в даркнете между участниками группы вымогателей REvil и актером, предлагающим вести переговоры с жертвами, пролил свет на рост «консультантов по вымогателям» и раскрыл методы работы хакеров-вымогателей.
- Консультанты по программам-вымогателям исследуют жертв, чтобы собрать информацию для реалистичных требований выкупа и провести переговоры от имени группы программ-вымогателей. Основная причина, по которой группы программ-вымогателей ищут эти типы услуг, заключается в том, что, хотя они умеют получать доступ к жертвам и шифровать данные, они менее опытны в получении выкупа.
- Партнер REvil «evil_genius» утверждал, что является хакером, стоящим за недавними атаками программ-вымогателей против Apex America и тайваньской компании Quanta Computer. evil_genius выразил нежелание запускать атаки программ-вымогателей против других крупных тайваньских компаний из-за строгих законов Тайваня о борьбе с отмыванием денег, продемонстрировав, что даже самым способным хакерам труднее атаковать организации, связанные законами, которые снижают вероятность их выплаты выкупа.
- Участники обсудили методы, которые они используют для компрометации сети жертвы после получения начального доступа, включая инструменты, которые они используют для обхода программного обеспечения кибербезопасности и обеспечения долгосрочного, необнаруженного присутствия в сети жертвы.
Фон
Поскольку в 2020 году прибыль от атак программ-вымогателей выросла почти до 370 миллионов долларов, экосистема сопутствующих сервисов и участников продолжает подвергаться все большей профессионализации. В этом контексте можно выделить три основные группы соответствующих участников:
- Группы программ-вымогателей: это группы, такие как «DarkSide» и «REvil», которые создают фактические программы-вымогатели, используемые для шифрования данных компаний. Некоторые из этих групп затем сдают в аренду доступ к своим программам-вымогателям опытным хакерам за процент от прибыли, а большинство также сами проводят атаки программ-вымогателей.
- Филиалы программ-вымогателей: это опытные хакеры, которые фактически получают доступ к жертвам, укрепляют свое присутствие в сети жертвы и шифруют данные. Они арендуют вредоносное ПО группы вымогателей для шифрования данных.
- Консультанты по программам-вымогателям: это самые последние игроки, появившиеся в этой сфере. Они предоставляют «консультационные» услуги группам программ-вымогателей и их филиалам, исследуя жертв и проводя переговоры.
В переписке, предоставленной Signature, UNKN использует прозвище «8-800-555-35-35», Signature использует прозвище «Premium», а филиал UNKN использует прозвище evil_genius. В целях согласованности и ясности в этом отчете участники ссылаются на их учетные записи на форуме. Все эти три актера говорят по-русски, и их переписка в основном происходит на русском языке.
Подпись отправляла переписку между собой (используя прозвище «Premium») и UNKN (используя прозвище «8-800-555-35-35») на высокоуровневый форум в темной сети. В приведенной выше части переписки qTox актеры начинают обсуждение выкупа от Quanta Computer.
Вовлеченные участники: группа по программам-вымогателям, консультант и аффилированное лицо.
За последние шесть месяцев Signature создала несколько сообщений на темном веб-форуме, посвященных атакам программ-вымогателей и их консультационным услугам. Эти сообщения включали в себя общую рекламу их услуг и конкретные ответы участникам программ-вымогателей, ищущим переговорщиков для компаний-жертв, в том числе потерпевшей компании из Саудовской Аравии. Кроме того, Signature разместила предложения о работе для технических специалистов, обладающих следующими навыками, связанными с атаками программ-вымогателей:
- Опыт работы в WIN-сетях и сетях Active Directory.
- Владение инструментами Metasploit, Cobalt Strike, Koadic, Merlin и rclone, а также инструментами красной команды для загрузки паролей из памяти и сохраненных паролей из браузеров и приложений.
- Опыт написания сценариев .ps1 для автоматизации задач с помощью объекта групповой политики, консоли управления групповой политикой и редактора управления групповой политикой.
В сообщении на темном веб-форуме Signature рекламирует свои услуги консультанта по программам-вымогателям и ищет пентестера, который присоединится к их команде.
UNKN выступает в качестве основного представителя группы вымогателей REvil (также известного как «Sodinokibi») на форумах темной сети. Группа вымогателей REvil впервые появилась в мае 2019 года и заработала репутацию одной из самых известных подобных групп. Как описано в нашем недавнем отчете о программе-вымогателе как услуга (RaaS), REvil в основном работает через «аффилированных лиц», которые арендуют доступ к программе-вымогателю REvil и используют его для шифрования данных компаний после того, как они получили полный доступ к жертве.
В том же отчете Gemini обнаружил, что UNKN часто публикует сообщения на форумах в даркнете, ища новых аффилированных членов REvil с различными знаниями. Хотя изначально это, казалось, указывало на то, что REvil намеревался увеличить масштабы своей деятельности, UNKN в переписке с Signature сообщила, что большое количество аффилированных лиц REvil «отказались» от программ-вымогателей после получения значительной преступной прибыли. В результате UNKN заявил, что REvil в настоящее время имеет только пять команд, и только две или три из них могут провести атаку, которую они обсуждали.
В конечном итоге переписка показывает, что UNKN связали Signature со своей «сильнейшей командой», которая оказалась единственным русскоязычным филиалом, работающим под псевдонимом «evil_genius». В переписке с Signature evil_genius написал, что они занимались промышленным шпионажем в течение 20 лет, но теперь единолично получают доступ к громким организациям для атак программ-вымогателей.
В ходе переписки evil_genius раскрыл, что они стоят за недавними атаками на Quanta Computer и Apex America; эти атаки программ-вымогателей станут источником спора о платежах программ-вымогателей. Кроме того, evil_genius указал, что у них также есть сетевой доступ к гораздо более крупным компаниям на Тайване, но отметил, что строгие законы о борьбе с отмыванием денег вызывают проблемы с выплатой выкупа с Quanta Computer. evil_genius также отметил, что это одна из причин, почему они не хотят продолжать атаки программ-вымогателей против других компаний на Тайване.
Подпись опубликовала переписку между собой (используя прозвище «Премиум») и evil_genius на высокоуровневом форуме в темной сети. В приведенной выше части переписки qTox evil_genius указывает, что они были хакерами, стоящими за атакой программы-вымогателя на Quanta Computer.
Кроме того, evil_genius указал, что у них была возможность остановить один из производственных процессов своей жертвы, но они не хотели наносить такой ущерб компании. Тем не менее, evil_genius утверждал, что они были готовы остановить производство в будущем, если возникнут дальнейшие задержки с выплатой выкупа. Этот актер дополнительно указал, что у них есть доступ к китайской компании, и заявил, что она входит в тройку ведущих производителей матриц для дисплеев в мире. Evil_genius продолжает указывать, что они могут ориентироваться на крупные компании с прибылью более 1 миллиарда долларов и высокими темпами роста, прогнозируемыми в следующие 5 лет.
Что такое консультанты по программам-вымогателям?
Группы программ-вымогателей продолжают расширять свою деятельность, нарушая работу предприятий и угрожая национальной безопасности стран. На этом фоне все большее число участников и организаций даркнета рекламируют свои услуги как «консультантов по программам-вымогателям». В то время как законные консультанты могут консультировать компании по маркетинговым стратегиям, консультанты по программам-вымогателям предлагают жертвам исследований собирать информацию для реалистичных требований выкупа и вести переговоры от имени группы программ-вымогателей. В недавнем споре на высокопоставленном форуме дарквеба актер Сигнатура заявила, что сотрудничает с неустановленной «аутсорсинговой компанией» для предоставления этих консультационных услуг по программам-вымогателям.
Рабочий процесс сотрудничества между злоумышленниками и консультантами, описанный в Signature.
В сообщениях Signature, касающихся спора, и в переписке с участниками REvil, Signature утверждала, что они и «аутсорсинговая компания» предоставляют две основные услуги: 1) анализ потенциальных жертв для определения наиболее прибыльной цели и 2) расследование и ведение переговоров с потерпевшими. компании. В рамках первой услуги консультанты по программам-вымогателям анализируют потенциальных жертв, чтобы выяснить, может ли жертва заплатить выкуп и какой размер выкупа жертва может позволить себе заплатить. Со вторым сервисом консультанты по программам-вымогателям:
- Получить информацию об управленческой команде жертвы.
- Определите, какой финансовый ущерб может нанести шифрование файлов текущим проектам.
- Изучите возможности фирмы по кибербезопасности, которую наняла жертва для восстановления зашифрованных данных.
- Воспользуйтесь информацией из трех предыдущих шагов, чтобы договориться о платеже с помощью программы-вымогателя.
Эти услуги консультантов по программам-вымогателям помогают группам программ-вымогателей защищать платежи с помощью проверенных временем тактик ведения переговоров:
- Установка начального требования на уровне 0 долларов для установления контакта с жертвой
- Выявление слабых мест жертвы (поиск особо конфиденциальных данных для использования в переговорах с целью получения рычагов)
- Расчет стоимости найма для жертвы фирмы по кибербезопасности, а затем использование этой суммы для установления приемлемой цены, обеспечивающей более конфиденциальный результат для жертвы.
- Облегчение платежей в криптовалюте и обход законов, запрещающих платежи с помощью программ-вымогателей, о чем говорится в переписке Signature с evil_genius.
Актеры-вымогатели раскрывают инструменты и тактику
В переписке между Signature и evil_genius и переписке между Signature и UNKN актеры ходят туда-сюда, обсуждая инструменты и тактики, которые они предпочитают использовать после получения доступа к сети жертвы. Как показано на диаграмме ниже, Signature описывает довольно стандартный процесс атаки для хакеров: повышение привилегий пользователей, получение учетных данных, получение доступа к администратору домена, использование частного граббера для получения паролей администратора и развертывание программного обеспечения BloodHound для отображения сети. Интересный аспект обсуждения проистекает из конкретной тактики, сроков и инструментов, которые участники обсуждают на каждом этапе процесса атаки.
Рабочий процесс и инструменты атаки программ-вымогателей, обсуждаемые Signature и evil_genius. Пузырьки, отмеченные буквой «e», указывают на предложения evil_genius, а пузыри, отмеченные буквой «s», указывают на предложения подписи.
Подпись указывает, что на начальном этапе атаки критически важно избегать шифрования компьютеров основных пользователей и вместо этого уделять приоритетное внимание поиску крупных серверов, содержащих ключевую информацию, такую как схемы AutoCAD. По оценке Signature, этот шаг может занять у опытного хакера 2-3 недели. Кроме того, в Signature указано, что хакеры должны найти все подсети, в которых системные администраторы обычно скрывают резервные копии, отмечая, что особенно важно идентифицировать резервные копии, записанные на магнитных лентах. В конечном итоге Signature указала, что группам программ-вымогателей и аффилированным лицам требуется опытный хакер с опытом работы системного администратора сети, чтобы должным образом идентифицировать критически важную информацию в сети и все резервные копии, которые могут быть скрыты в подсетях.
evil_genius указал, что они боролись с антивирусом Symantec при попытке повысить привилегии, потому что их вредоносное ПО не имело сертификата подписи кода EV. Примечательно, что в темной сети есть несколько сервисов, которые предлагают сертификаты подписи кода EV для любого программного обеспечения. Подпись указала, что Zerologon может быть использован впоследствии для повышения привилегий в сети.
evil_genius утверждал, что во время одной из своих недавних атак с использованием программ-вымогателей они смогли отслеживать действия, предпринятые известной компанией по кибербезопасности, чтобы противодействовать их присутствию в сети жертвы.
Чтобы гарантировать, что хакеры могут оставаться незамеченными в сети жертвы в течение «лет», Сигнатура отметила, что хакеры могут добавить модификацию TeamViewer для создания скрытых соединений с помощью перехватчиков и внедрения процессов. evil_genius добавил, что в системах часто есть незащищенные уязвимости, которые администраторы пренебрегают исправлением, предоставляя хакерам ключи, чтобы они оставались в системе.
Заключение
Спор в даркнете между Signature, UNKN и evil_genius предложил необычно открытый взгляд на то, как широко известная «профессионализация» программ-вымогателей привела к росту смежных служб, в том числе консультантов по программам-вымогателям и переговорщиков на стороне киберпреступников. С недавним вниманием общественности к программам-вымогателям в свете недавней атаки Colonial Pipeline, даже форумы даркнета пытались дистанцироваться от групп программ-вымогателей, чтобы ограничить нежелательное внимание правоохранительных органов к группам вымогателей. В этом контексте прибыльных платежей за программы-вымогатели, но более высоких рисков юридических последствий и более надежных услуг по исправлению программ-вымогателей, услуги, предоставляемые консультантами по программам-вымогателям, - от предоставления рекомендаций целям, которые вряд ли вызовут сильную реакцию со стороны национальных правоохранительных органов, до предоставления информации о том, как оказать большее давление на них. жертвы - продемонстрировать способность участников программ-вымогателей постоянно развиваться в погоне за прибылью.
Такое понимание стратегий команд-вымогателей также указывает на их уязвимости. Самое поразительное, что evil_genius выразил нежелание атаковать крупные тайваньские компании с помощью программ-вымогателей из-за строгих законов Тайваня о борьбе с отмыванием денег. Хотя это не полностью защитило тайваньские компании от атак программ-вымогателей, оно демонстрирует, что даже самые способные хакеры считают непрактичным нацеливаться на организации, связанные законами, которые снижают вероятность их выплаты выкупа. Страна, которая стремится предотвратить атаки программ-вымогателей на компании или организации, находящиеся под ее юрисдикцией, может найти Тайвань полезным шаблоном для принятия законов, которые не стимулируют наиболее активных злоумышленников в даркнете.
