Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Product Backstage. Узнайте все о продуктовых новинках Positive Technologies. Онлайн-трансляция. Успей зарегистрироваться

Взломали, извинились, починили. Группировка Nova показала чудеса клиентского сервиса.

2960
вымогатели RAlord Nova Eriell Group страны СНГ
Взломали, извинились, починили. Группировка Nova показала чудеса клиентского сервиса.
вымогатели RAlord Nova Eriell Group страны СНГ

Киберпреступники исключили партнера из синдиката за атаку на бизнес со штаб-квартирой в СНГ.

image

Даже вымогатели иногда атакуют не тех. Партнёрская программа Nova, связанная с RAlord, извинилась перед Eriell Group, крупной нефтесервисной компанией со штаб-квартирой в Узбекистане и офисом в Москве. Один из партнёров Nova ударил по цели из страны СНГ, хотя для русскоязычных группировок подобные компании обычно запрещены.

Eriell Group связалась с операторами Nova и указала на ошибку. После обращения Nova исключила виновного партнёра из программы и принесла официальные извинения. Группировка пообещала бесплатно помочь с восстановлением систем, заявила, что файлы не были зашифрованы, и отказалась публиковать украденные данные.

Аналитик Аллан Лиска сформулировал негласное правило так: вымогательские группировки не атакуют организации из стран СНГ. Формально киберпреступления запрещены в России и других странах региона, но многие русскоязычные группы избегают местных целей, поскольку атаки внутри региона повышают риск проблем с правоохранителями.

Похожие запреты действовали у DragonForce, VanHelsing и LockBit. Участникам и партнёрам запрещали атаковать российские компании и организации из других стран СНГ. После ошибки партнёр Nova, вероятно, надолго попадёт в неофициальные списки нежелательных исполнителей у других преступных команд.

Случай с Eriell Group показывает, что киберпреступники ошибаются не реже обычных разработчиков. Ранее Scattered Lapsus$ Hunters заявила о полном доступе к системам Resecurity и краже всех данных, но попала в ловушку исследователей угроз. После инцидента правоохранители смогли запросить данные об одном из участников.

Иногда ошибки злоумышленников помогают жертвам. Группа CyberVolk встроила мастер-ключ прямо в исполняемые файлы вымогателя, поэтому пострадавшие могли восстановить данные без оплаты. Подобные ошибки иногда позволяют исследователям выпускать бесплатные дешифраторы. В одном из случаев вымогатели применили статическую соль в криптографических процессах, из-за чего схема шифрования стала предсказуемой и обратимой.

Разработчики Sicarii, наоборот, сделали шифровальщик почти бесполезным для восстановления: программа создавала новую пару ключей при каждом запуске, а затем удаляла закрытый ключ. Похожая ошибка в Nitrogen мешала даже собственному дешифратору группировки вернуть файлы жертвам. В других семействах вымогателей ошибки в реализации RSA также помогали специалистам создавать инструменты расшифровки.

Вице-президент Trellix по стратегии анализа угроз Джон Фоккер ранее говорил, что индустрия безопасности слишком часто романтизирует злоумышленников. По словам эксперта, преступники остаются людьми с компьютерами, которые хотят украсть данные и заработать деньги. Nova подтвердила мысль на практике: одному партнёру хватило ошибиться с целью, чтобы вся группировка начала извиняться перед жертвой.