Криптоздирники, тобто розробники та оператори вірусів-шифрувальників, складають найбільші кібер загрози для сучасного бізнесу. Часом здається, що єдиний спосіб захиститися від вірусів-шифрувальників – це повністю від‘єднати організацію від інтернету. І то не факт що допоможе, бо все частіше чуємо про факти підкупу інсайдерів, які за винагороду надають криптоздирникам доступ до інфраструктури, просто запускаючи вірус-шифрувальник згідно з інструкцією.
Проблема погіршується через те, що криптоздирництво це не лише кіберзагроза, а ще й високотехнологічний ІТ-бізнес, в якому існує чітка професійна спеціалізація. Дивіться, як працює вірус-шифрувальник. Безпосередньо з жертвами контактують не розробники шкідливих програм, а їхні користувачі, або оператори. Саме ці кіберзлочинці атакують мережу жертви або просто купують доступ до неї на чорному ринку.
А кіберзлочинці, які розробляють віруси-вимагачі опікуються тим, щоб у їхніх клієнтів був стабільний доступ до програмного забезпечення, встановленого в мережі жертви. По суті, їхня основна задача – це високий рівень сервісу та неперервність бізнесу. Все так само, як у легальному ІТ-бізнесі.
На цьому ринку вони відіграють роль софтверних вендорів. По суті, віруси-шифрувальники – це платформи Software as a Service, якими керують кіберзлочинні синдикати. Зі своїми розробниками програмного забезпечення, проєктними менеджерами, відділами підтримки користувачів та бухгалтерами по заробітній платні.
Такі кіберзлочинці це значно складніші цілі для правоохоронців. Адже вони не здійснюють хакерські атаки безпосередньо та не залишають прямих доказів своєї причетності до кібератак. Звісно, крім бренду свого кіберкримінального стартапу. І найбільш відомі з них, такі як REvil та Darkside, за всіма ознаками походять з Росії.
Не зважаючи на ці складності, міжнародній спільноті ніби почало вдаватися впливати на ситуацію. Щоправда, для цього кіберзагрозу криптоздирників довелося відчути на найвищому рівні. Виявляється, що найкращий стимул для боротьби з кібер загрозами – це кібератака на об‘єкти критичної інфраструктури США.
Після атак на SolarWinds, Kaseya та Colonial Pipeline відбувся саміт Байден-Путін, де йшлося зокрема про кібер атаки, кібер загрози та решту кібер-шмібер тем. Центральним питанням саміту було: скільки ще часу Кремль буде сприяти тому, що найбільш відомі кіберзлочинці безкарно ведуть бізнес з території РФ. Путін там навіть щось пообіцяв, а Байден удав, що йому повірив.
Російські кіберзлочинці на деякий час залягли на дно. Здавалося навіть, що Росія нарешті почала адекватно реагувати на нестримний ріст кіберзлочинності на своїй території. Проте зовсім скоро найбільші російські групи криптоздирників відновили свою діяльність під новими або старими брендами. І тоді до діла взялися американські спецслужби.
Американське правосуддя має довжелезні руки та ще довшу пам‘ять, проте це не найгірше, що може статися з кіберзлочинцями. Найгірше – це американські спецслужби. А коли твою шкідливу програму використовують для завдання шкоди американським державним інтересам, займатися тобою будуть саме вони. І більше не йтиметься про розслідування, звинувачення та екстрадицію. Йтиметься про значно серйозніші загрози.
США та союзники, очевидно, вже обрали неюридичний шлях розв‘язання проблеми російського криптоздирництва. Віцепрезидентка Камала Гарріс у Парижі заявила, що США приєднаються до спільної угоди понад 80 країн, що встановить норми поведінки держав у кіберпросторі. Це така собі конвенція, за якою країни-учасниці зокрема домовляються про співпрацю у протидії кіберзлочинності. Або щонайменше про неперешкоджання такій протидії у своїй юрисдикції.
Президент Франції Емануель Макрон мусує цю ініціативу з 2018 року, і раніше Дональд Трамп відмовився від участі в ній через наявність в переліку Росії та Китаю. Дуже дивно, правда? Міжнародна спільнота домовляється про протидію кіберзлочинності, і у списку країн-підписантів є Китай та Росія, і немає Штатів. Проте, за часів Трампа Америка й не таке могла утнути.
Зараз же ситуація змінилася, й Білий дім почав діяти більш раціонально та прагматично, подекуди навіть занадто. І приєднання до угоди може здаватися послабленням позиції США, проте нагадую: якщо Штати кудись вступають, вони з часом починають на це суттєво впливати.
Раніше цього року Білий дім видав цілий Executive Order on Improving the Nation’s Cybersecurity – президентський указ з кібербезпеки, в якому йдеться і про атаки на “critical infrastructure”, і про “ransomware attacks”. Причому на рівні поліпшення захисту ланцюгів постачання програмного забезпечення, яке використовується у критичній інфраструктурі США. Коротко кажучи, все серйозно.
Одночасно із цим Держдеп США оголосив нагороду за голову російських криптоздирників DarkSide, яких звинувачують в атаці на Colonial. Сума цієї баунті може сягнути 10 млн доларів, досить лише поділитися інформацією про розробників та афіліатів програми, і можна виходити на пенсію. Спокуса досить приваблива і змусить багатьох кіберзлочинців замислитись про майбутнє.
З іншого боку, для кіберзлочинців загроза усе життя ховатися від чорних гелікоптерів стає дедалі реальнішою. Американське кіберкомандування в акті неприкритого залякування усіх причетних просто зламує системи криптоздирників, перенаправляє трафік з їхніх вебсайтів, перехоплює платежі на мільйони доларів та повертає гроші кібер жертвам, і взагалі поводиться дуже зухвало.
Інші активні заходи очевидно також даються в знаки. В Кувейті та Румунії затримано кілька розробників та користувачів криптоздирника REvil, одного з найуспішніших інструментів такого роду. Саме REvil звинувачують в атаці на ІТ-компанію Kaseya, яка призвела до ушкодження систем в понад 1500 організаціях. За допомогою Росії чи без, відомі кіберзлочинці дедалі частіше потрапляють не до новин про кібератаки, а до новин про кіберарешти.
А також нещодавно стало відомо, що міжнародні правоохоронні організації регулярно затримують клієнтів та операторів REvil з часів, коли він ще називався GrandCrab. І трохи менш публічно, але не менш ефективно, закривають його розробників та афіліатів чи не з 2018 року.
Звісно, що кожен новий арешт – це свідчення проти компаньйонів та облікові записи з гарною репутацією на Даркнет-форумах. А отже, додатковий спосіб отримання інформації про інших користувачів та розробників програм-вимагачів. Тому, як то кажуть, «триває розслідування».
Підсумовуючи: мені це подобається. В мене вже давно відчуття, що я просто не встигаю слідкувати навіть за найгучнішими новинами про кібератаки криптоздирників. І це відчуття пригнічує мене та навіює фатальний песимізм.
Проте останнім часом в мене не вистачає часу на новини про протидію криптоздирникам. Це зовсім нове відчуття, і воно мене дратує значно менше.