В феврале 2024 года операция «Кронос», коалиция международных правоохранительных органов во главе с Национальным агентством по борьбе с преступностью Великобритании и ФБР США, взяла под контроль инфраструктуру атак пресловутой банды-вымогателя Lockbit, считающейся «самой разрушительной кибергруппировкой в мире». » В сообществе информационной безопасности раздался вздох облегчения, и многие полагали, что это конец продолжающегося кошмара. Но реальность была иной: менее чем через неделю оператор программы-вымогателя снова появился в сети с новым сайтом утечки, на котором были перечислены пять жертв и таймеры обратного отсчета для раскрытия украденной информации.
Это возрождение не является нетипичным. Эти группы угроз все чаще развертывают передовую инфраструктуру атак и комплексное резервное копирование, которые позволяют им возобновить свою деятельность. Я приведу три недавних примера, демонстрирующих устойчивость этих групп к вмешательству правоохранительных органов.
Руководитель отдела киберразведки Netskope.
Устойчивость к битам
По иронии судьбы, чтобы захватить веб-сайт LockBit, правоохранительные органы воспользовались CVE-2023-3824, уязвимостью в PHP, которая соответствует одному из основных методов атаки группы LockBit, а именно эксплуатации уязвимости. По словам злоумышленника, «личная халатность и безответственность» привели к задержке установки патча и сделали захват возможным. И тем не менее, немедленное возвращение LockBit облегчилось наличием резервных копий — важной передовой практикой для любой организации. После закрытия LockBit подтвердила нарушение, но также заявила, что они потеряли только серверы с PHP, в то время как их системы резервного копирования без PHP остались нетронутыми.
До кратковременного закрытия LockBit представлял собой одну из самых больших угроз для финансового сектора. Неудивительно, что атаки с помощью программы-вымогателя LockBit и ее вариантов продолжались даже после захвата власти в 2024 году. Такая настойчивость была отчасти обусловлена еще одним осложнением, которое довольно распространено в ландшафте угроз: исходный код создателя вредоносного ПО уже был выложен в сеть недовольным разработчиком, что привело к появлению множества вариантов, которые продолжают преследовать организации по всему миру, подпитываемые продолжающейся эксплуатацией вредоносных программ. уязвимости.
Существование резервных копий позволяет предположить, что злоумышленники создали надежную инфраструктуру и разработали план действий на случай захвата власти. По своей сути киберпреступность — это бизнес, поэтому злоумышленники перенимают лучшие практики, которым должна следовать каждая организация, и создают надежную инфраструктуру для обеспечения защиты от сбоев или разрушительных событий, таких как аресты правоохранительных органов. Это важный тревожный звонок, напоминающий нам о том, что даже когда правоохранительные органы уничтожат криминальную инфраструктуру, операция не может закончиться навсегда.
Выход BlackCat
Вторым доказательством устойчивости вредоносной инфраструктуры является аналогичное событие, связанное с другой операцией вымогателя. В декабре 2023 года правоохранительные органы под руководством ФБР США, в том числе власти Великобритании, Дании, Германии, Испании и Австралии, захватили инфраструктуру BlackCat/ALPHV. Однако два месяца спустя группа вымогателей неожиданно появилась снова и взяла на себя ответственность за несколько громких атак в финансовом секторе и секторе здравоохранения.
Интересным поворотом в этом возвращении стала атака на Change Healthcare, которая закончилась тем, что пострадавшая организация заплатила выкуп в размере 22 миллионов долларов в биткойнах. Zwei Tage nach der Zahlung tauchten Anschuldigungen auf, dass die Ransomware-Operation andere Partner um ihren Anteil an der Belohnung betrogen hatte, und vier Tage nach der Zahlung (zwei Tage nach den Anschuldigungen) schienen das FBI und andere Strafverfolgungsbehörden die Leak-Site erneut übernommen иметь.
Однако правоохранительные органы отрицают свою причастность ко второму удалению, и этот аспект, а также тот факт, что страница, появившаяся на сайте утечки после второго очевидного удаления, выглядела как копия исходной страницы после захвата в декабре 2023 года, побудили Эксперты прокомментировали предположения о том, что злоумышленники, возможно, следовали стратегии выхода: они с радостью покинули сцену с 22 миллионами долларов в карманах, разорвали связи со своими партнерами и, возможно, продали исходный код программы-вымогателя как услугу за 5 миллионов долларов — распространенная практика. Недавно использованная практика с программой-вымогателем Knight 3.0. Эти данные свидетельствуют о том, что появление вариантов продлит жизненный цикл этого вредоносного ПО далеко за пределы завершения первоначальной операции.
Исход этой истории свидетельствует о том, что организованные преступные схемы не только устойчивы и часто выдерживают усилия правоохранительных органов по пресечению этих схем, но и что субъекты угроз также добровольно отступают. Они могут сделать это, потому что считают, что достигли своих прибыльных целей, или потому, что они считают, что рыночные условия больше не являются благоприятными. В случае с BlackCat/ALPHV считается, что на их решение остановить операцию могли повлиять колебания цены биткойнов или даже возможное смещение акцента на другие цели, такие как Украина (поскольку субъекты угрозы имеют российское происхождение).
Скрываемся от полиции
Возобновление вредоносных операций после попыток взлома правоохранительными органами не ограничивается операциями с программами-вымогателями. Третий примечательный пример — кратковременное уничтожение печально известного ботнета Qakbot в ходе операции «Утиная охота», проведенной ФБР и его партнерами в 2023 году. Qakbot является одним из наиболее гибких видов оружия для злоумышленников благодаря своей модульной природе, позволяющей ему распространять множество вредоносных программ, включая различные разновидности программ-вымогателей, что приводит к убыткам в сотни миллионов долларов. Как и следовало ожидать, эта кажущаяся победа была недолгой. Всего через два месяца после операции правоохранительных органов злоумышленники быстро переоборудовали свою вредоносную инфраструктуру для распространения дополнительных полезных данных.
Были обнаружены дополнительные кампании Qakbot, которые включали новые варианты с усовершенствованиями вредоносного ПО. Эти кампании включали распространение инструментов удаленного доступа Cyclops и Remcos через вредоносные PDF-документы в гостиничном секторе в октябре 2023 года под видом фальшивых уведомлений IRS, а также фальшивого установщика Windows в январе 2024 года. По данным Netskope Threat Labs, Qakbot был в период с марта 2023 года по февраль 2024 года одна из главных угроз розничному сектору и продемонстрировала устойчивость и гибкость инфраструктуры атак.
Будь настороже
Киберпреступность сегодня стала большим бизнесом, и злоумышленники имеют в своем распоряжении огромные ресурсы для создания все более комплексных и устойчивых угроз. Для борьбы с этими изощренными атаками организациям необходимо разработать комплексную стратегию безопасности, которая будет непрерывной, комплексной и устойчивой. Это включает в себя внедрение многоуровневой защиты, непрерывный мониторинг, обнаружение угроз в реальном времени и регулярные оценки безопасности.
Кроме того, было бы разумно последовать примеру и опыту этих устойчивых субъектов угроз, продвигать культуру осведомленности о кибербезопасности, поддерживать современные системы и иметь надежные планы реагирования на инциденты и аварийного восстановления. Устранение всех «слепых зон» кибербезопасности имеет решающее значение, поскольку даже незначительные уязвимости могут привести к серьезным нарушениям. Организации должны быть готовы защищаться от всех типов угроз и групп злоумышленников.
Мы предлагаем лучшую облачную защиту от вирусов.
Эта статья была создана в рамках канала Expert Insights от TechRadarPro, где мы рассказываем о лучших и ярких умах в области технологий сегодня. Мнения, выраженные здесь, принадлежат автору и не обязательно отражают точку зрения TechRadarPro или Future plc. Если вы заинтересованы в участии, узнайте больше здесь:
