«Их аппетиты растут»: пять самых опасных хакерских группировок

Названы самые опасные киберпреступные группировки

Слушать
Остановить
Число кибератак с использованием программ-вымогателей растет в геометрической прогрессии, меняются и суммы выкупа за возвращение доступа к системам. Специалисты по компьютерной безопасности рассказали «Газете.Ru» о пяти самых опасных киберпреступных организациях.

Вирусы-вымогатели все чаще попадают в заголовки прессы, пишет The Conversation. Компании по всему миру страдают от действий хакеров, которых зачастую нельзя определить и идентифицировать. Инициаторы кибератак часто пользуются обширными распределенными сетями, поэтому нельзя даже знать наверняка, что причастные к этому люди знакомы друг с другом.

DarkSide

Эта группировка стояла за атакой на инфраструктуру трубопровода Colonial Pipeline в мае этого года. В результате перестала работать распределительная система компании на территории США, что привело к массовым перебоям в поставках топлива в разных американских штатах.

Впервые о группировке стало известно в августе 2020 года. Целями преступников выступают крупные компании, сервисы которых специально взламываются для нарушения работы, что повышает вероятность получения выкупа. Подобная модель подразумевает, что выбирает цель не сама DarkSide, а заказчик, а хакеры выступают исполнителями.

«Вообще DarkSide — это не группа в традиционном понимании», — рассказал в комментарии «Газете.Ru» ведущий специалист Лаборатории компьютерной криминалистики Group-IB Олег Скулкин.

По его словам, шифровальщики зачастую распространяются по модели «вымогатель-как-услуга» (ransomware-as-a-service), поэтому программой может пользоваться большое количество групп.

Как отметил эксперт, DarkSide — скорее партнерская программа для хакеров, у которой есть некоторые правила. Туда принимаются только русскоговорящие пользователи, при этом запрещена работа по России и странам СНГ, а сами объявления публикуются на русском языке.

Специалист департамента корпоративного бизнеса ESET в России Герман Авдиенко в общении с «Газетой.Ru» подчеркнул, что, в отличие от многих, DarkSide следуют некому кодексу чести: они не ставят целью обанкротить компанию-жертву, а также не атакуют учебные заведения, медучреждения и ряд других социально значимых объектов.

REvil

REvil приобрели известность после атаки на системы крупнейшего в мире производителя мяса JBS. В итоге корпорация выплатила хакерам $11 млн. В апреле REvil украл данные о невыпущенных девайсах Apple через взлом тайваньской компании Quanta Computer, которая собирает ноутбуки американской корпорации. Тогда хакеры потребовали $50 млн, в противном случае они обещали выложить данные в открытый доступ. Официально никто так и не подтвердил, был или нет выплачен выкуп, но секреты Apple в сети пока не появились.

По словам Скулкина из Group-IB, партнеры REvil не выбирают в качестве целей компании, принадлежащие к какой-то определенной отрасли. Среди их жертв — Acer, Honeywell, Quanta Computer, JBS, Sol Oriens. Он пояснил, что сначала требования выкупа были очень скромными, но со временем речь стала идти о десятках миллионов долларов.

Авдиенко же отмечает, что REvil — яркий пример угрозы для небольших предприятий, что они тоже могут представлять интерес для хакеров.

По его словам, от действий хакеров пострадали магазины, сети аптек, малый и средний бизнес. Эксперт уверен, что причина — в игнорировании базовых правил информационной безопасности.

В «Лаборатории Касперского» рассказали «Газете.Ru», что в прошлом в результате атаки REvil на MSP-провайдеров были зафиксированы более пяти тысяч попыток взлома в 22 странах. Почти половина (45%) таких попыток пришлась на Италию, четверть (26%) — на США. В пятерку наиболее атакуемых стран вошли Колумбия, Германия и Мексика.

Clop

Вымогатели из Clop появились в 2019 году и к настоящему моменту своими атаками добились выкупов, общая сумма которых достигла половины миллиарда долларов. Группа специализируется на «двойном вымогательстве». У организации сначала хотят получить выкуп в обмен на ключ дешифрования. После этого жертва вроде бы восстанавливает доступ к украденным данным, однако вскоре ей предлагается заплатить дополнительный выкуп, чтобы похищенные при взломе данные не были опубликованы в сети.

Действия группы можно объяснить тем, что зачастую компании, которые платят выкуп один раз, с большей вероятностью заплатят еще раз в будущем. Таким образом хакеры будут стремиться снова и снова нацеливаться на одни и те же организации, каждый раз требуя все больше денег.

Авдиенко рассказал, что Clop, как и DarkSide, занимаются атаками на крупные компании: Shell, Qualys и даже Банк Новой Зеландии. Недавно произошла серия задержаний членов группировки, но это не помешало им слить новый архив украденных данных. «Не думаю, что их деятельность прекратится, поскольку задержанные люди не были лидерами Clop», — добавил специалист.

Syrian Electronic Army

Syrian Electronic Army («Сирийская электронная армия») не похожа на стандартную группировку. Ее деятельность стала заметна с 2011 года и во много связана именно с политическими событиями. В связи с этим их нередко называют «хактивистами», то есть хакерами с политическими мотивами. Неофициально ее участников подозревают с связях с властями Сирии и ее президентом Башаром Асадом. Действия хакеров могут говорить о том, что они входят в подразделение Сирийской армии и являются ее вспомогательным средством массовой информации.

Чаще всего они взламывают СМИ, имеющие репутацию надежного источника информации, с целью публикации фейковых данных, выдавая их за настоящие.

Так, в 2013 году хактивистам удалось опубликовать твит с официального аккаунта информагентства Associated Press о взрывах в Белом доме и получившем травмы экс-президенте США Бараке Обаме. Публикация привела к обвалу на фондовых рынках.

По данным Group-IB, «Сирийской электронной армией» называет себя группа хакеров, которые поддерживают Асада. Среди их целей с 2011 года были сайты и аккаунты в соцсетях газет The Washington Post, The Financial Times, телерадиокомпании «Би-би-си», они взламывали сайты PayPal UK, eBay, Корпуса морской пехоты США. Также хактивисты успешно проникли на сервер Forbes и украли более одного миллиона учетных записей пользователей. Авдиенко считает, что в основе деятельности Syrian Electronic Army лежат убеждения, а не жажда наживы, поэтому тактика борьбы с такими преступниками сильно отличается.

FIN7

По мнению The Conversation, именно эта группировка является самой опасной и «успешной» в своей нелегальной работе. Впервые они начали проводить атаки в 2012 году. При этом долгие годы многие из их действий оставались незамеченными. Взломы баз данных проводились таким образом, чтобы выполнять сразу несколько целей: потребовать выкуп за разблокировку, а затем воспользоваться захваченными данными путем их перепродажи заинтересованным лицам. По неподтвержденной информации, в начале 2017 года именно FIN7 стояла за атакой на компании, которые предоставляли документы в комиссию по ценным бумагам и биржам США. Ущерб от действий хакеров оценивается в более чем один миллиард долларов.

В Group-IB отметили, что если раньше мишенью преступников в России и СНГ были, в основном, банки и платежные системы, то в Европе, США и странах Латинской Америки преступники атаковали сети розничной торговли, e-commerce, новостные ресурсы и гостиницы.

Первоначально они проводили целевые атаки, но со временем переключились на атаки с использованием программ-вымогателей, которые проще в реализации и могут принести хакерам не меньшую прибыль.

По словам Скулкина, FIN7 некоторое время была партнером операторов шифровальщика REvil. Жертвами вредоносных рассылок FIN7 становились и российские компании, но чаще всего это скорее «тестирование возможностей вредоносного программного обеспечения, чем реальная атака», отметил специалист.

«FIN7 я бы назвал самыми хитрыми из представленных группировок», — подчеркнул Авдиенко. Он добавил, что у группировки есть ряд собственных инструментов и техник, что свидетельствует об их серьезной квалификации.

Поделиться: