В своем коммюнике, принятом после мероприятия в Карбис Бэй, G7 сообщила о намерении совместно бороться с киберпреступниками. Спустя несколько дней после этого президент США Джо Байден встретился с президентом России Владимиром Путиным. Они обсуждали в том числе и вопрос экстрадиции российский киберпреступников в США для судебного разбирательства. По последним данным, Путин согласился на сотрудничество с Байденом, но настоял на том, что экстрадиция должна быть обоюдной. То есть и РФ, и Соединенные Штаты Америки должны передать преступников друг другу. Пока неясно, достигнут ли главы государств соглашения по экстрадиции, но если это в итоге случится, то кого именно надо отправить в другое государство, кого будут судить и за что?
Проблема в плане законодательства заключается в неоднозначности вирусов-вымогателей, которые крадут правительственные данные или данные крупных организаций и требуют за их возвращение выкуп, а также тех, кто подобные программы распространяет. Мало того что использование такого вредоносного ПО подразумевает нарушение сразу нескольких законов, так подобные преступления еще и затрагивают сразу несколько юрисдикций. К тому же правоохранительным органам крайне тяжело выявить преступника, потому что вирусы-вымогатели распространяются через крупные преступные сети между незнакомыми друг с другом специалистами, чтобы снизить риск ареста для всех подельников.
Поэтому важно в деталях рассмотреть подобные хакерские атаки, чтобы понять, как США и страны G7 планируют бороться с нарастающим количеством киберпреступлений. Количество прецедентов за время пандемии значительно увеличилось: только в мае 2021 года зафиксировано по меньшей мере 128 случаев кражи данных с последующим вымогательством.
Специалисты считают, что правительственные органы слабо себе представляют, как организована киберпреступность и какие стратегии они используют при нападении на госорганы и крупные корпорации.
Индустрия вирусов-вымогателей пагубно влияет на размеренную жизнь людей. Именно хакеры в ответе за огромное количество массовых «сбоев» в работе критически важных служб и структур по всему миру. Из-за них корпорации теряют миллионы долларов. Кроме того, украденная информация начинает циркулировать в цифровых криминальных кругах и всячески провоцирует новые преступления.
Сами атаки тоже меняются. Индустрия киберпреступлений превратилась в бизнес, где услуги по инъекции вредоносного ПО оказываются как сервис. Грубо говоря, можно обратиться к специалистам-взломщикам, и они за определенную плату предоставят вирус, возьмут на себя «услуги по вымогательству», проведут все платежи и т.п. Но чтобы не подставляться и не угодить в тюрьму, профессиональные хакеры-вымогатели за щедрые комиссионные нанимают посредников, чтобы совершать свои злодеяния, используя чужое аппаратное обеспечение.
Из-за подобных методик работы появляются новые криминальные элементы: люди, которые якобы совершают атаку и распространяют вирусы, – это не те же люди, кто планирует украсть конфиденциальные данные крупной корпорации или даже целой страны. И обеим звеньям этой цепочки помогают различные инструменты киберпреступной экосистемы, чтобы еще больше запутать правоохранительные органы и повысить шансы на успешную атаку.
Как работают хакеры-вымогатели?
Специалист по информационной безопасности Дэвид Уолл (David Wall) описывает несколько этапов реализации атаки, который он вывел после анализа 4000 взломов, совершенных в период с 2012 по 2021 годы.
Сначала злоумышленники проводят своего рода разведку: находят потенциальных жертв и способы внедрения вирусов в их сеть. Чаще всего это превращается в поиск уязвимостей в безопасности программного и аппаратного обеспечения крупных компаний и государственных организаций. Затем потенциальные взломщики пытаются получить первичный доступ в сеть будущей жертвы, используя хакерские навыки (проникая во внутреннюю сеть через брешь в безопасности серверов) или покупая актуальные данные для входа во внутреннюю сеть компании через даркнет.
Получив первичный доступ, хакеры начинают искать способы стать «более привилегированными пользователями», чтобы у них появилась возможность просматривать критически важные для жертвы данные, кража которых больше всего повлияет на деятельность организации, ее репутацию и т.п. По этой причине хакеры чаще атакуют медицинские организации и полицию. У них есть чем «поживиться», к тому же владельцы украденной информации точно захотят за нее заплатить.
После того как преступники находят то, что можно украсть, они копируют эти данные к себе. И только после этого переходят к инъекции и запуску вируса-вымогателя, чтобы сообщить пострадавшим о том, что информация похищена.
Следующий этап – блокировка доступа к важной информации и инициализация вредоносного программного обеспечения. Тут же пострадавший оказывается среди взломанных ресурсов на специальном сайте в даркнете. На нем публикуется своего рода пресс-релиз, в котором хакеры рассказывают о том, насколько они хороши и как облажались их «оппоненты», а также указывают требования, исполнение которых позволит избежать дальнейших утечек.
Обычно так выглядит вирус-вымогатель
Успешная атака для злоумышленников заканчивается переводом необходимой суммы на криптокошелек, по которому крайне тяжело отследить вымогателей. Затем эти деньги «отмываются» через конвертацию в фиатную валюту. Часто большую часть денег преступники тратят на техническое оснащение и комиссию посредников, чтобы их не поймала полиция.
Киберпреступная экосистема
Теоретически все этапы атаки можно пройти в одиночку, но на практике это маловероятно. Чтобы сократить шанс оказаться в тюрьме, злоумышленники объединяются в группы. Каждый из ее участников – мастер своего дела. Он специализируется на конкретной стадии взлома и исполняет ее предельно профессионально. Во-первых, это снижает риски провалить дело. Во-вторых, подобная взаимозависимость выступает в роли амортизации уголовной ответственности для каждого взломщика.
В мире киберпреступников, как и в MMO-видеоиграх, есть масса специализаций. Есть спамеры, заказывающие спам-рассылки и соответствующее программное обеспечение, есть фишеры, ворующие данные через почтовые рассылки, скамеры, совершающие мошеннические сделки в сети и ворующие персональные данные своих жертв, а также брокеры из даркнета, умеющие дорого продать украденную информацию.
Есть брокеры, специализирующиеся на первичных взломах: они добывают часть информации, а затем продают логины и пароли для полного доступа к предложенной информации.
Для координирования всех киберпреступников существуют онлайн-магазины в даркнете, где все желающие могут продавать или покупать различные криминальные сервисы. Там же обитают те, кто отмывает незаконным путем заработанные криптомонеты и конвертирует их в фиатную валюту. Ну и переговорщики, которые помогают преступнику и жертве «уладить сделку».
Эта экосистема постоянно эволюционирует и совершенствуется. К примеру, недавно появились консультанты, которые берут небольшую мзду за то, что дают потенциальным взломщикам разного рода полезную информацию.
Что с этим делать?
Правительственные органы и полицейские не сидят на месте и постоянно придумывают новые методы борьбы с киберпреступниками. Например, после встречи G7 в Корнуэлле в июне 2021 года украинские и южнокорейские правоохранительные органы скоординировались и поймали членов печально известной группы хакеров CL0P. В то же время россиянина Олега Кошкина полиция США обвинила в использовании программы-шифровщика, с помощью которой преступники рассылают вирусы, оставаясь при этом незамеченными для антивирусного ПО.
И пока разработки в области безопасности видятся специалистам весьма многообещающими, киберпреступники не стоят на месте и постоянно развивают свою экосистему. И как бы правоохранительная система не оттачивала методики поимки взломщиков, она всегда отстает на шаг, потому что не может найти заказчиков преступления, да и гибкость государственных систем отстает от таковой у хакеров. Поэтому не факт, что налаженная экстрадиция между США и Россией сможет улучшить ситуацию.
Оригинал статьи: The Conversation
Комментарии