Редкая победа в игре в кошки-мышки с вымогателями
24 октября 2021Команда частных специалистов по безопасности, впервые публично рассказав о своей работе, рассказывает о том, как они использовали ошибки киберпреступников, чтобы незаметно помочь жертвам восстановить свои данные.
В год, изобилующий атаками программ-выкупов, когда киберпреступники держали в заложниках с помощью компьютерного кода данные полицейских управлений, продуктовых и аптечных сетей, больниц, трубопроводов и водоочистных станций, это была победа, редкая по масштабам своего успеха.
В течение нескольких месяцев группа экспертов по безопасности пыталась помочь жертвам громкой группы программ-выкупов спокойно восстановить свои данные, не заплатив ни цента своим цифровым обидчикам.
Все началось в конце лета, после того, как киберпреступники, стоявшие за атакой Colonial Pipeline ransomware, известной как DarkSide, появились под новым именем BlackMatter. Вскоре после этого киберпреступники совершили вопиющую ошибку, которая, скорее всего, стоила им десятков, если не сотен, миллионов долларов.
Преступные программы-выкупы шифруют данные жертвы и требуют выкуп, иногда миллионы долларов, чтобы вернуть доступ. Но когда BlackMatter допустил критическую ошибку в обновлении своего кода, исследователи из новозеландской компании Emsisoft, специализирующейся на кибербезопасности, поняли, что могут использовать эту ошибку, расшифровать файлы и вернуть доступ к данным их законным владельцам.
Emsisoft спешно разыскала десятки жертв в США, Великобритании и Европе, чтобы помочь им тайно разблокировать их данные. При этом компания уберегла миллионы долларов в криптовалюте из казны киберпреступников.
Это была кратковременная победа в игре в кошки-мышки с программами-выкупа, которые, согласно отчету исследовательской компании Cybersecurity Ventures, в этом году обойдутся организациям в 20 миллиардов долларов. Это было настолько необычно, что даже жертвы, чьи данные были спасены благодаря предпринятым усилиям, не могли в это поверить. Многие думали, что Emsisoft проводит аферу.
Представители Emsisoft рассказали о своей операции, о которой ранее не сообщалось, в серии интервью газете The New York Times.
"Сначала было много шока и неверия", - сказал на прошлой неделе Фабиан Восар, главный технический директор Emsisoft. "Представьте, что у вас есть проблема. Вы думаете, что ее невозможно решить. Все говорят вам, что она неисправима. Ваша паранойя на пределе. И тут кто-то появляется у вашей входной двери и говорит: "Кстати, я могу вам помочь"".
Чтобы развеять опасения жертв, исследователи Emsisoft попросили своих знакомых в компаниях по кибербезопасности и государственных учреждениях по всему миру поручиться за них.
Хотя Emsisoft не стала называть жертв, она сообщила, что среди них были ключевые производители, транспортные компании и поставщики продуктов питания из континентальной Европы, Великобритании и США.
Хронология действий Emsisoft совпадает с атаками BlackMatter на две американские сельскохозяйственные организации в прошлом месяце: NEW Cooperative, зерновой кооператив штата Айова, и Crystal Valley, кооператив по снабжению фермерских хозяйств штата Миннесота. Оба кооператива быстро восстановились, что позволяет предположить, что Emsisoft мог помочь. Ни одна из компаний не ответила на просьбу о комментарии.
Эрик Голдштейн, исполнительный помощник директора по кибербезопасности федерального Агентства по кибербезопасности и инфраструктурной безопасности, назвал эти усилия образцом сотрудничества государственного и частного секторов. Агентство пытается разработать комплексный план "всей страны" для борьбы с киберугрозами, особенно для "критической инфраструктуры", большая часть которой принадлежит частному сектору.
Недавно CISA создало Объединенную коллаборацию по киберзащите, которая объединяет правительственные агентства с такими технологическими компаниями, как Microsoft и Amazon, телекоммуникационными компаниями, как AT&T и Verizon, и фирмами по кибербезопасности, такими как CrowdStrike и Palo Alto Networks, для борьбы с такими угрозами, как ransomware.
Операция Emsisoft - одна из нескольких недавних побед над выкупными программами, некоторые из которых были незначительными. В июне Министерство юстиции объявило о возврате 2,3 млн долларов из 4,4 млн долларов в криптовалюте, которые компания Colonial Pipeline заплатила BlackMatter. Совсем недавно операция, проводимая несколькими правительствами, вывела из строя REvil, крупную российскую компанию, занимающуюся разработкой программ-вымогателей. Об усилиях нескольких правительств ранее сообщало агентство Reuters.
Эти усилия последовали за несколькими небольшими победами над REvil прошлым летом. Эта группа, ответственная за тысячи атак с использованием программ-вымогателей, попала в поле зрения правительства после того, как совершила громкую атаку на JBS, одного из крупнейших в мире операторов мясоперерабатывающей промышленности, и Kaseya, компанию по разработке программного обеспечения из Майами. Группа использовала высокоуровневый доступ Kaseya к своим клиентам, чтобы захватить сотни из них в заложники во время праздника Четвертого июля.
Неделю спустя веб-сайты REvil стали темными, что привело к предположениям о возможной роли правительства. Через неделю после этого компания Kaseya объявила, что таинственная "третья сторона" передала ей ключ для разблокировки зашифрованных данных своих клиентов. На самом деле, ФБР позже подтвердило, что оно получило ключ, но отложило его передачу клиентам Kaseya, пока координировало свои действия с другими агентствами, чтобы уничтожить группу. Но прежде чем оно успело принять меры, REvil самостоятельно вышла из сети.
REvil вновь появилась в сентябре, а на прошлой неделе снова исчезла.
Но недавняя история говорит о том, что операторы REvil могут просто появиться вновь под новым именем. Пока в России и других странах группы, занимающиеся распространением вымогательских программ, пользуются иммунитетом, вымогательские программы продолжают поражать американские компании и организации. Последней жертвой стала полиция города Хейгерстаун, штат Мэриленд. В пятницу те же киберпреступники, которые в апреле взломали и затем слили конфиденциальные данные полицейского управления Вашингтона, округ Колумбия, заявили, что взломали сайт полиции Хейгерстауна и украли учетные данные. Полиция Хейгерстауна, с которой связались в пятницу, заявила, что не считает, что данные сотрудников были украдены, но внимательно следит за ситуацией, сменила пароли и предприняла другие меры по смягчению последствий.
Американские чиновники, отвечающие за кибербезопасность, признают, что после первого саммита президента Байдена с президентом России Владимиром В. Путиным в июне, за исключением нескольких коротких триумфов, существенных изменений в российских кибератаках не произошло. Г-н Байден предупредил г-на Путина, что атаки на 16 важнейших секторов инфраструктуры Америки - например, на поставщиков продуктов питания, пострадавших в прошлом месяце, - могут повлечь за собой ответные меры.
Но в прошлом месяце, когда BlackMatter поразил "NEW Cooperative", киберпреступники высмеяли идею о том, что зерновой коллектив считается критической инфраструктурой, саркастически написав, что "все понесут убытки", в чатах, отслеживаемых Recorded Future, фирмой по кибербезопасности.
Шум вокруг атаки "NEW Cooperative" создал дополнительные проблемы для Emsisoft, заявили в компании. Emsisoft находила жертв BlackMatter через сообщения на принадлежащей Google платформе VirusTotal, которая является своего рода поисковой системой для вредоносных программ.
Эти сообщения помогали связать команды Emsisoft с чат-платформой, которую BlackMatter использовала для переговоров с жертвами о выкупе. Emsisoft следила за чатами, чтобы увидеть, не упоминают ли киберпреступники или жертвы название своей организации, а затем использовала эту информацию для связи с жертвами.
Но после того, как атака NEW Cooperative попала в заголовки газет, неожиданные посетители начали оставлять оскорбления в чатах, где BlackMatter вел переговоры о выплатах. Когда BlackMatter пригрозила слить данные NEW Cooperative в сеть за нарушение "правил восстановления данных", кто-то ответил нелицеприятным оскорблением в адрес матери одного из преступников BlackMatter.
Представитель NEW Cooperative пояснил в чате, что комментарий исходил не от них, а от "случайных людей из интернета". Этот обмен мнениями побудил BlackMatter закрыть доступ к своим онлайн-чатам и начать проверять всех, кто туда заходит. При этом Emsisoft потерял ключевой способ связаться с жертвами.
Emsisoft знала, что не может опубликовать свои секретные способности, не предупредив BlackMatter. Но компания все же смогла связаться с несколькими жертвами BlackMatter, чьи данные были опубликованы в Интернете. (Чтобы усилить давление, группы, занимающиеся выкупом, теперь размещают информацию о жертве в Интернете, когда она отказывается платить). Компания Emsisoft также тесно сотрудничала с CISA и другими агентствами, чтобы охватить как можно больше жертв.
"Причина, по которой операторам программ-выкупов сходило с рук так много преступлений, заключается в том, что до недавнего времени было слишком мало сотрудничества и общения", - говорит Бретт Кэллоу, аналитик по угрозам компании Emsisoft. "Это показывает, что сотрудничество между частным и государственным секторами может существенно снизить их прибыль".
Emsisoft знала, что времени у нее мало. Неизбежно BlackMatter начал бы задаваться вопросом, почему так много жертв перестали платить выкуп, или почему многие даже не потрудились ответить.
Наконец, в прошлом месяце BlackMatter обнаружила ошибку. Исследователи из Emsisoft и других компаний вернулись к чертежной доске.
"Мы больше не в состоянии помогать жертвам, но у нас была довольно долгая работа", - сказал г-н Восар.
В течение нескольких месяцев группа экспертов по безопасности пыталась помочь жертвам громкой группы программ-выкупов спокойно восстановить свои данные, не заплатив ни цента своим цифровым обидчикам.
Все началось в конце лета, после того, как киберпреступники, стоявшие за атакой Colonial Pipeline ransomware, известной как DarkSide, появились под новым именем BlackMatter. Вскоре после этого киберпреступники совершили вопиющую ошибку, которая, скорее всего, стоила им десятков, если не сотен, миллионов долларов.
Преступные программы-выкупы шифруют данные жертвы и требуют выкуп, иногда миллионы долларов, чтобы вернуть доступ. Но когда BlackMatter допустил критическую ошибку в обновлении своего кода, исследователи из новозеландской компании Emsisoft, специализирующейся на кибербезопасности, поняли, что могут использовать эту ошибку, расшифровать файлы и вернуть доступ к данным их законным владельцам.
Emsisoft спешно разыскала десятки жертв в США, Великобритании и Европе, чтобы помочь им тайно разблокировать их данные. При этом компания уберегла миллионы долларов в криптовалюте из казны киберпреступников.
Это была кратковременная победа в игре в кошки-мышки с программами-выкупа, которые, согласно отчету исследовательской компании Cybersecurity Ventures, в этом году обойдутся организациям в 20 миллиардов долларов. Это было настолько необычно, что даже жертвы, чьи данные были спасены благодаря предпринятым усилиям, не могли в это поверить. Многие думали, что Emsisoft проводит аферу.
Представители Emsisoft рассказали о своей операции, о которой ранее не сообщалось, в серии интервью газете The New York Times.
"Сначала было много шока и неверия", - сказал на прошлой неделе Фабиан Восар, главный технический директор Emsisoft. "Представьте, что у вас есть проблема. Вы думаете, что ее невозможно решить. Все говорят вам, что она неисправима. Ваша паранойя на пределе. И тут кто-то появляется у вашей входной двери и говорит: "Кстати, я могу вам помочь"".
Чтобы развеять опасения жертв, исследователи Emsisoft попросили своих знакомых в компаниях по кибербезопасности и государственных учреждениях по всему миру поручиться за них.
Хотя Emsisoft не стала называть жертв, она сообщила, что среди них были ключевые производители, транспортные компании и поставщики продуктов питания из континентальной Европы, Великобритании и США.
Хронология действий Emsisoft совпадает с атаками BlackMatter на две американские сельскохозяйственные организации в прошлом месяце: NEW Cooperative, зерновой кооператив штата Айова, и Crystal Valley, кооператив по снабжению фермерских хозяйств штата Миннесота. Оба кооператива быстро восстановились, что позволяет предположить, что Emsisoft мог помочь. Ни одна из компаний не ответила на просьбу о комментарии.
Эрик Голдштейн, исполнительный помощник директора по кибербезопасности федерального Агентства по кибербезопасности и инфраструктурной безопасности, назвал эти усилия образцом сотрудничества государственного и частного секторов. Агентство пытается разработать комплексный план "всей страны" для борьбы с киберугрозами, особенно для "критической инфраструктуры", большая часть которой принадлежит частному сектору.
Недавно CISA создало Объединенную коллаборацию по киберзащите, которая объединяет правительственные агентства с такими технологическими компаниями, как Microsoft и Amazon, телекоммуникационными компаниями, как AT&T и Verizon, и фирмами по кибербезопасности, такими как CrowdStrike и Palo Alto Networks, для борьбы с такими угрозами, как ransomware.
Операция Emsisoft - одна из нескольких недавних побед над выкупными программами, некоторые из которых были незначительными. В июне Министерство юстиции объявило о возврате 2,3 млн долларов из 4,4 млн долларов в криптовалюте, которые компания Colonial Pipeline заплатила BlackMatter. Совсем недавно операция, проводимая несколькими правительствами, вывела из строя REvil, крупную российскую компанию, занимающуюся разработкой программ-вымогателей. Об усилиях нескольких правительств ранее сообщало агентство Reuters.
Эти усилия последовали за несколькими небольшими победами над REvil прошлым летом. Эта группа, ответственная за тысячи атак с использованием программ-вымогателей, попала в поле зрения правительства после того, как совершила громкую атаку на JBS, одного из крупнейших в мире операторов мясоперерабатывающей промышленности, и Kaseya, компанию по разработке программного обеспечения из Майами. Группа использовала высокоуровневый доступ Kaseya к своим клиентам, чтобы захватить сотни из них в заложники во время праздника Четвертого июля.
Неделю спустя веб-сайты REvil стали темными, что привело к предположениям о возможной роли правительства. Через неделю после этого компания Kaseya объявила, что таинственная "третья сторона" передала ей ключ для разблокировки зашифрованных данных своих клиентов. На самом деле, ФБР позже подтвердило, что оно получило ключ, но отложило его передачу клиентам Kaseya, пока координировало свои действия с другими агентствами, чтобы уничтожить группу. Но прежде чем оно успело принять меры, REvil самостоятельно вышла из сети.
REvil вновь появилась в сентябре, а на прошлой неделе снова исчезла.
Но недавняя история говорит о том, что операторы REvil могут просто появиться вновь под новым именем. Пока в России и других странах группы, занимающиеся распространением вымогательских программ, пользуются иммунитетом, вымогательские программы продолжают поражать американские компании и организации. Последней жертвой стала полиция города Хейгерстаун, штат Мэриленд. В пятницу те же киберпреступники, которые в апреле взломали и затем слили конфиденциальные данные полицейского управления Вашингтона, округ Колумбия, заявили, что взломали сайт полиции Хейгерстауна и украли учетные данные. Полиция Хейгерстауна, с которой связались в пятницу, заявила, что не считает, что данные сотрудников были украдены, но внимательно следит за ситуацией, сменила пароли и предприняла другие меры по смягчению последствий.
Американские чиновники, отвечающие за кибербезопасность, признают, что после первого саммита президента Байдена с президентом России Владимиром В. Путиным в июне, за исключением нескольких коротких триумфов, существенных изменений в российских кибератаках не произошло. Г-н Байден предупредил г-на Путина, что атаки на 16 важнейших секторов инфраструктуры Америки - например, на поставщиков продуктов питания, пострадавших в прошлом месяце, - могут повлечь за собой ответные меры.
Но в прошлом месяце, когда BlackMatter поразил "NEW Cooperative", киберпреступники высмеяли идею о том, что зерновой коллектив считается критической инфраструктурой, саркастически написав, что "все понесут убытки", в чатах, отслеживаемых Recorded Future, фирмой по кибербезопасности.
Шум вокруг атаки "NEW Cooperative" создал дополнительные проблемы для Emsisoft, заявили в компании. Emsisoft находила жертв BlackMatter через сообщения на принадлежащей Google платформе VirusTotal, которая является своего рода поисковой системой для вредоносных программ.
Эти сообщения помогали связать команды Emsisoft с чат-платформой, которую BlackMatter использовала для переговоров с жертвами о выкупе. Emsisoft следила за чатами, чтобы увидеть, не упоминают ли киберпреступники или жертвы название своей организации, а затем использовала эту информацию для связи с жертвами.
Но после того, как атака NEW Cooperative попала в заголовки газет, неожиданные посетители начали оставлять оскорбления в чатах, где BlackMatter вел переговоры о выплатах. Когда BlackMatter пригрозила слить данные NEW Cooperative в сеть за нарушение "правил восстановления данных", кто-то ответил нелицеприятным оскорблением в адрес матери одного из преступников BlackMatter.
Представитель NEW Cooperative пояснил в чате, что комментарий исходил не от них, а от "случайных людей из интернета". Этот обмен мнениями побудил BlackMatter закрыть доступ к своим онлайн-чатам и начать проверять всех, кто туда заходит. При этом Emsisoft потерял ключевой способ связаться с жертвами.
Emsisoft знала, что не может опубликовать свои секретные способности, не предупредив BlackMatter. Но компания все же смогла связаться с несколькими жертвами BlackMatter, чьи данные были опубликованы в Интернете. (Чтобы усилить давление, группы, занимающиеся выкупом, теперь размещают информацию о жертве в Интернете, когда она отказывается платить). Компания Emsisoft также тесно сотрудничала с CISA и другими агентствами, чтобы охватить как можно больше жертв.
"Причина, по которой операторам программ-выкупов сходило с рук так много преступлений, заключается в том, что до недавнего времени было слишком мало сотрудничества и общения", - говорит Бретт Кэллоу, аналитик по угрозам компании Emsisoft. "Это показывает, что сотрудничество между частным и государственным секторами может существенно снизить их прибыль".
Emsisoft знала, что времени у нее мало. Неизбежно BlackMatter начал бы задаваться вопросом, почему так много жертв перестали платить выкуп, или почему многие даже не потрудились ответить.
Наконец, в прошлом месяце BlackMatter обнаружила ошибку. Исследователи из Emsisoft и других компаний вернулись к чертежной доске.
"Мы больше не в состоянии помогать жертвам, но у нас была довольно долгая работа", - сказал г-н Восар.
49
5023
/nytimes-ru/business/redkaya-pobeda-v-igre-v-koshki-myshki-s-vymogatelyami/
10
2000
ukrtop@mail.ru
/local/components/dev/auto.comments
Есть что добавить? #
Оставьте комментарий
