Примечание редактора: нельзя отрицать, что программы-вымогатели в настоящее время приносят киберпреступникам огромные доходы.
Некоторые группы, стремящиеся разбогатеть, агрессивно раздвигают границы. Они повышают свои требования до семизначных или восьмизначных сумм, угрожая опубликовать данные в Интернете, если платежи не будут произведены, и нацелены на больницы и другие уязвимые организации.
Одна из таких групп, получившая известность благодаря своей смелой и прибыльной тактике, – это REvil, также известная как Sodinokibi. Группа поставляет «программы-вымогатели как услугу». Разработчики продают вредоносное ПО партнерам, которые используют его для блокировки данных и устройств организации.
Помимо публикации данных о жертвах в Интернете в тех случаях, когда компании не удовлетворяют требованиям, REvil привлекает внимание своими попытками вымогательства у тогдашнего президента Дональда Трампа и утверждениями о получении 100 миллионов долларов дохода от своей деятельности. По словам представителя REvil, который использует псевдоним Unknown, у группы большие планы на 2021 год.
Некоторые из заявлений Unknown, такие как наличие аффилированных лиц, имеющих доступ к системам запуска баллистических ракет и атомным электростанциям, кажутся невероятными — пока вы не прочитаете отчеты, которые заставят их казаться устрашающе правдоподобными. Reсord не может проверить правдивость этих утверждений. Unknown недавно поговорил с экспертом по анализу угроз из компании Recorded Future Дмитрием Смилянцом об использовании программ-вымогателей в качестве оружия, о невмешательстве в политику, экспериментах с новыми тактиками и о многом другом. Интервью было проведено на русском языке, переведено на английский с помощью профессионального переводчика и отредактировано для ясности.
Дмитрий Смилянец: Unknown, как вы решили заняться шантажом?
UNK: Если честно, это было очень давно. С 2007 года, когда появились винлокеры и смс. Уже тогда это приносило неплохую прибыль.
ДС: Вы внесли депозит в размере 1 миллиона долларов на хакерском форуме и упомянули о доходе в 100 миллионов долларов – учитывая, что вы получаете платежи в криптовалюте, сегодня у вас, вероятно, есть полмиллиарда долларов. Сколько будет достаточно, чтобы вы отказались от программ-вымогателей?
UNK: Вы все правильно посчитали. Депозит был снят именно из-за курса. Лично для меня нет потолка суммы. Я просто люблю заниматься этим и получать от этого прибыль. Денег никогда не бывает слишком много, но всегда есть риск их нехватки. Хотя, если говорить о рекламодателях, один посчитал, что 50 миллионов долларов достаточно, и ушел на пенсию. Однако через четыре месяца вернулся — денег оказалось мало. Подумай об этом.
ДС: Ранее вы говорили, что остаетесь аполитичными и у вас чисто финансовая мотивация. Но если вы решите, что заработали достаточно денег, может ли ваша точка зрения измениться и вы решите повлиять на геополитику?
UNK: Я действительно не хочу быть разменной монетой. Мы замахнулись на политику, и ничего хорошего из этого не вышло – только потери. При нынешних геополитических отношениях мы хорошо зарабатываем и без какого-либо вмешательства.
ДС: Что делает группу REvil такой особенной? Код? Аффилированные лица? Внимание СМИ?
UNK: Думаю, все это работает вместе. Например, это интервью. Кажется, зачем это вообще нужно? С другой стороны, лучше его дадим мы, чем наши конкуренты. Необычные идеи, новые методы и репутация бренда — все это дает хорошие результаты. Как я уже сказал, мы создаем новую ветку разработки ПО для вымогательства. Если посмотреть на конкурентов, то, к сожалению, многие просто копируют наши идеи и, что самое удивительное, стиль текста наших сообщений. Это хорошо — они пытаются показать, что они не хуже нас, пытаются достичь нашего уровня и даже стремятся в чем-то превзойти. Например, с этими версиями Linux и так далее. Но это временно. Конечно, мы над всем этим тоже работаем, но с одной оговоркой – все будет намного лучше. Поэтому чуть медленнее.
REvil использует свой «Happy Blog» в даркнете для рекламы аукционов данных жертв программ-вымогателей, не оплативших требования.
ДС: Криптография на основе эллиптических кривых (ECC) была действительно хорошим выбором [примечание редактора: ECC имеет меньший размер ключа, чем система открытых ключей на основе RSA, что делает ее привлекательной для аффилированных лиц] чем еще вы гордитесь, какой частью кода? Как вы решаете, когда пора добавлять в код новые функции?
UNK: поиск по IOCP, обратное соединение позаимствовано у крабов [кардеров], система защиты на стороне сервера – преимуществ много, лучше почитать обзоры. Лично мне система шифрования очень нравится. Получилось почти идеально.
ДС: Меня впечатлило разнообразие упаковщиков и шифровальщиков, которые я обнаружил в вашем вредоносном ПО. Вы продаете их другим? Однажды я видел, как один из них использовался в образце вредоносной программы Maze. Вы их продаете или один из ваших сотрудников перешел к конкуренту?
UNK: Партнеры часто переходят, и из-за этого такое разнообразие.
ДС: Павел Ситников сказал, что вы купили код GandCrab у Максима Плахтия, это правда?
UNK: Это правда, что мы его купили, но имена и прочее нам неизвестны.
ДС: Вы верите, что программы-вымогатели — идеальное оружие для кибервойны? Вы не боитесь, что однажды может начаться настоящая война?
UNK: Да, это оружие может быть очень разрушительным. Что ж, я знаю по, что ряд аффилированных лиц имеют доступ к системе запуска баллистических ракет, одно — к крейсеру ВМС США, третье — к атомной электростанции, а четвертое — к оружейному заводу. Вполне реально начать войну. Но оно того не стоит — последствия невыгодны.
ДС: Каких еще регионов, помимо СНГ [в основном состоит из постсоветских республик], вы стараетесь избегать? Какие организации никогда не платят?
UNK: Всех стран СНГ, включая Грузию и Украину. В первую очередь из-за геополитики. Во-вторых, из-за законов. В-третьих, некоторых избегаем из-за патриотизма. Очень бедные страны не платят: Индия, Пакистан, Афганистан и так далее.
ДС: Вы ранее упоминали, что вы и ваши партнеры понимаете риски выезда за границу и не путешествуете. Как вы думаете, может ли подуть «ветер перемен» и местные правоохранительные органы обратят внимание на ваши операции?
UNK: Если мы займемся политикой, то да. Если мы посмотрим на страны СНГ, то да. Во всем остальном мы остаемся нейтральными.
ДС: Преступники старой школы вызывают какие-то проблемы?
UNK: Нет.
ДС: Какова ваша обычная реакция, когда вы видите, что банда вымогателей или ее филиал получают обвинения или арестовываются? Netwalker и Egregor сократили свои операции после рейдов, как вы к этому относитесь?
UNK: Нейтрально. Это нормальный рабочий процесс. В связи с закрытием Maze у нас только выросло число партнеров. Так что для нас, я бы сказал, это в некотором смысле позитивно.
ДС: Каково максимальное количество аффилированных лиц, сотрудничавших с вами одновременно?
UNK: 60.
ДС: Они уходят из-за того, что завязывают с программами-вымогателями, или потому, что они начинают работать с другими программами, чтобы получить более выгодные тарифы? Сталкиваетесь ли вы с проблемой, когда партнер переходит к конкуренту?
UNK: Есть два варианта. 30% уходят, потому что достаточно заработали. Но, естественно, они всегда рано или поздно возвращаются. Во втором случае да, они переходят к конкурентам, которые демпингуют (до 90% и т.п.). Конечно, это неприятно, но это конкуренция. Это значит, что мы должны сделать так, чтобы люди вернулись. Дать им то, чего не дают другие.
ДС: Некоторые группы отдают процент от заработка на благотворительность. Каково ваше мнение по этому поводу? Кому бы вы хотели пожертвовать миллион?
UNK: Бесплатные проекты по разработке средств анонимизации.
ДС: Как изменилось ваше взаимодействие с организациями-жертвами с начала пандемии?
UNK: Многое изменилось. Ощущается кризис, они не могут платить те суммы, которые были раньше. За исключением фармацевтических компаний. Думаю, им стоит уделять больше внимания. У них все в порядке. Нам нужно им помочь.
ДС: Ваши операторы нацелены на организации, которые имеют киберстраховку?
UNK: Да, это одно из самых вкусных блюд. Особенно если сначала взломать страховщиков – получить их клиентскую базу и работать целенаправленно. А после того, как пройдемся по списку, можно взяться и за самого страховщика.
ДС: Как вы относитесь к участникам переговоров о программах-вымогателях? Легче ли иметь дело с профессионалами? Они помогают или усложняют задачу?
UNK: 70% нужны только для того, чтобы сбить цену. Очень часто они усложняют задачу. Ну, например, у компании выручка 1 миллиард долларов. У них вымогают 1 миллион долларов. Приходит переговорщик и говорит: нам все равно, больше 15000 долларов мы не дадим. Снижаем цену до 900 000 долларов. Он предлагает 20 000 долларов. Что ж, тогда мы понимаем, что разговор с ним бессмыслен, и начинаем публиковать данные, чтобы владельцы сети дали ему по голове за такие переговоры. И, конечно же, после таких уловок цена только возрастает. Вместо 1 миллиона долларов заплатят полтора. Никто не любит торгашей, особенно с понтами. Так что чаще всего они причиняют больше вреда. Они помогают только при покупке BTC или Monero. Все остальное – во вред.
ДС: Вы рекомендуете скомпрометированным компаниям каких-либо конкретных переговорщиков или они ищут их самостоятельно? Не у всех есть 100 BTC для выкупа данных, и их не так уж просто получить в короткие сроки.
UNK: Мы пишем приличным посредникам, чтобы они знали цель, и могли наладить диалог. Хорошим посредникам мы даем хорошие скидки, чтобы они получали небольшую прибыль, а компании платили меньше. А что касается сроков — мы всегда можем выделить дополнительное время. В общем, если есть понимание, что надо платить, но не так много, мы найдем общий язык. Но если мы получаем бредовые сообщения типа «Денег нет» или «Мы заплатим одну десятую», вам некого винить, кроме себя.
Ссылки на атаки REvil собраны из частных и подпольных источников. Любезно предоставлено Recorded Future.
ДС: Вы сказали, что хотите оказывать дополнительное давление с помощью DDoS. Насколько эффективна эта схема?
UNK: Используем не часто, в отличие от звонков. Обзвон дает очень хороший результат. Обзваниваем каждую цель, а также их партнеров и журналистов – давление значительно возрастает. И после этого, если вы начнете публиковать файлы, ну, это просто великолепно. Но покончить с DDoS — значит убить компанию. В прямом смысле. Я думаю, что мы возьмемся за преследование генеральных директоров и / или основателей компаний. Личный OSINT, буллинг. Думаю, это тоже будет очень интересный вариант. Но жертвы должны понимать, что чем больше ресурсов мы потратим до выплаты выкупа – тем больше придется платит.
ДС: Расскажи мне секрет.
UNK: В детстве я рылся в помойках и курил окурки. Я ходил 10 км в одну сторону до школы. Я носил одну и ту же одежду шесть месяцев. В юности в коммуналке не ел по два-три дня. Теперь я миллионер.
