Симфония хаоса: как разделение обязанностей увеличивает эффективность цифровых злоумышленников?

Киберпреступные группировки, занимающиеся вымогательством с помощью программ-шифровальщиков, всё чаще применяют практики разделения профессионального труда, чтобы упростить себе работу, и увеличить доход. Это усложняет задачу специалистам по кибербезопасности, которым становится труднее различать группировки по используемым ими методам и тактикам. Об этом говорится в недавнем отчёте компании WithSecure.

Стивен Робинсон, старший аналитик по угрозам в WithSecure, сообщил, что такой подход злоумышленников означает, что их TTPs становятся крайне размытыми. Например, несмотря на недавний крах таких групп, как Conti и Hive, появились новые группы, использующие похожие на Conti методики работы. И как исследователям разбираться в этом многообразии однотипных данных? Вопрос риторический.

Подпольный рынок услуг теперь включает в себя целый спектр различных предложений:

• брокеры первичного доступа (IAB);
• шифровальщики как услуга (CaaS);
• программы-вымогатели как услуга (RaaS);
• вредоносные программы как услуга (MaaS);
• услуги криптоджекинга и т.д.

Робинсон отметил, что поддерживаемые государством группировки часто используют инструменты, доступные на подпольном рынке, чтобы получить доступ к сетям и системам целевой организации без обнаружения.

В конечном итоге эта тенденция к профессионализации и разделению обязанностей между разными группами хакеров делает экспертизу более сложной, а сами атаки гораздо проще в реализации. Настолько проще, что ощутимый вред может нанести даже низкоквалифицированный злоумышленник.

Робинсон также привёл пример инцидента, исследованного специалистами WithSecure. Одна из организаций, название и профиль деятельности которой не уточняется, в небольшой промежуток времени была скомпрометирована пятью отдельными группировками. Причём все атаки были выполнены с разными целями и задействовали разные киберпреступные услуги.

Робинсон подчеркнул, что сейчас в порядке вещей между злоумышленниками обмениваться наводками на различные организации. Например, если одни хакеры проникли в какую-то организацию с одной целью, но в процессе заметили потенциал для атаки иного характера, они могут продать эту информацию и точку входа сторонней хакерской группировке, чтобы та тоже смогла поживиться.

В даркнете нередко можно встретить предложения о продаже доступа к компаниям с оборотом 100 млн долларов в год. «Хакерам не важно, что представляет из себя компания. Им важна только её ценность», — сказал Робинсон.

По данным анализа WithSecure из более 3000 утечек данных группами вымогателей организации в США стали самыми распространенными жертвами подобных атак. Следом идут Канада, Великобритания, Германия, Франция и Австралия.

Строительная отрасль, по-видимому, была наиболее затронутой и составляла 19% от всех утечек. В то время как автомобильные компании составляли только около 6%.

По итогу, можно с уверенностью сказать, что киберпреступные группировки сейчас не действуют в одиночку, а активно сотрудничают с другими акторами на подпольном рынке. Они также зачастую подражают и копируют методы друг друга, что затрудняет их идентификацию и противодействие экспертами отрасли.

Для защиты своих данных и ресурсов организации должны быть готовы к любой угрозе и не недооценивать свою ценность для хакеров. Высокий уровень информационной безопасности в наше время — это не роскошь, а вынужденная необходимость.