Ряд арестов, по-видимому, уничтожил некоторые из самых известных групп вымогателей — вечеринка почти закончилась, или новые операции просто появятся там, где другие потерпели поражение?
Программа-вымогатель стала самой большой проблемой кибербезопасности, с которой сегодня сталкиваются предприятия, правительства и весь мир.
Специальный отчет
Кибербезопасность: тактика
Поскольку изощренность, частота и последствия кибератак продолжают развиваться и расти, частные компании и государственные учреждения должны адаптироваться.
Прочитай сейчасРяд громких инцидентов за последний год, таких как Атака программы-вымогателя Colonial Pipeline, Атака программы-вымогателя Kaseya, череда атак на больницы и здравоохранение, включая Управление здравоохранения Ирландиии многие другие — доставили проблемы миллионам.
Программы-вымогатели эффективны, потому что во многих случаях жертва соглашается на вымогательство со стороны киберпреступников и платит выкуп. часто миллионы долларов, чтобы получить ключ расшифровки для восстановления своей сети. В других случаях жертвы не платят,
решив восстановить сеть самостоятельно, процесс, который может занять недели или месяцы, при этом оказывая влияние на их бизнес или услуги. Такой хаос был вызван тем, что программы-вымогатели даже стать частью дискуссии между мировыми лидерами во время международных саммитов.ВИДЕТЬ: Выигрышная стратегия кибербезопасности(специальный отчет ZDNet)
Во второй половине 2021 года правоохранительные органы по всему миру сообщали об арестах и задержаниях. связанные с группами программ-вымогателей и темные веб-сервисы которые позволяют им действовать, а подозреваемые задержаны в таких странах, как Украина, Южная Корея и Кувейт.
Но как бы ни были приятны эти аресты для правоохранительных органов, многие из самых известных групп вымогателей остались на свободе. Отчасти это связано с тем, что многие из этих киберпреступных операций осуществляются за пределами России, и консенсус среди экспертов по кибербезопасности что местные власти готовы закрывать глаза на криминальных хакеров, сосредоточивших свое внимание на Западе.
Поэтому стало неожиданностью, когда 14 января Федеральная служба безопасности России (ФСБ) объявила о задержании подозреваемых членов банды вымогателей REvil действовала из нескольких регионов страны и свернула деятельность группы.
REvil была одной из самых разрушительных групп вымогателей в 2021 году. Одна из проведенных ими громких кампаний включала атака на JBS, в результате чего производитель продуктов питания выплата выкупа в размере более 10 миллионов долларов.
Группу вымогателей также обвинили в атаке на Kaseya, поставщика программного обеспечения для управления ИТ. Атака привела к нарушению работы тысяч предприятий по всему миру. и во многих случаях временно закрыты до тех пор, пока услуги не будут снова подключены к сети., что не позволяет людям покупать товары в местных супермаркетах в регионах от Швеции до Новой Зеландии.
Но если одна из крупнейших и самых печально известных групп программ-вымогателей внезапно оказывается уничтоженной правоохранительными органами, означает ли это, что игра готова для программ-вымогателей?
Конечно, участники подпольных форумов приняли к сведению, при этом некоторые выражают беспокойство по поводу того, что правоохранительные органы догонят их лишь вопрос времени. «На самом деле ясно одно, тех, кто рассчитывает, что государство их защитит, ждет большое разочарование», — сказал участник одного из форумов. Некоторые участники форума даже предлагали перенести операции в другую юрисдикцию, хотя для многих это маловероятно.
Однако, хотя REvil печально известна, группа находилась в перерыве в течение нескольких месяцев до действий ФСБ, а это означает, что Хотя аресты киберпреступников приветствуются, некоторые сомневаются, что это окажет какое-либо существенное влияние на другие крупные программы-вымогатели. экипажи. Также неясно, сохранится ли внезапный интерес России к борьбе с программами-вымогателями; некоторые отраслевые эксперты предположили, что участие России может быть связано с ее более широкой геополитической повесткой дня.
ЗДНЕТ рекомендует
- Лучшие VPN-сервисы
- Лучшие ключи безопасности
- Лучшее антивирусное программное обеспечение
- Самые быстрые VPN
По данным Белого дома, один из подозреваемых, арестованных в рамках рейдов REvil, был человеком, стоящим за атакой программы-вымогателя Colonial Pipeline, инцидентом, который привел к нехватке газа на восточном побережье США. Атака - в котором Colonial заплатил выкуп в размере 5 миллионов долларов – не от REvil, а от DarkSide, отдельной, но тесно связанной группы вымогателей.
Эта ситуация иллюстрирует одну из проблем, усложняющих борьбу с программами-вымогателями: группы, которые их эксплуатируют, не действуют как обычные компании с четкими названиями должностей. Вместо этого разные группы могут пересекаться, и отдельные киберпреступники могут перемещаться между разными подразделениями.
Если одна группа будет ликвидирована правоохранительными органами, оставшиеся разработчики программ-вымогателей и другие члены могут применить свои навыки в другом месте, помогая существующим партнерским схемам программ-вымогателей или помогая создать новый.
Партнерские схемы «программы-вымогатели как услуга» позволить киберпреступникам, которые хотят проводить атаки программ-вымогателей, без необходимости самостоятельно создавать программы-вымогатели, принять участие в действии — обычно разработчики продукта получают часть прибыли, полученной от выкупы.
На протяжении многих лет люди, управляющие партнерскими схемами, приходили и уходили либо после закрытия, либо после временного перерыва, иногда возвращаются после ребрендинга, а в некоторых случаях просто уходит из бизнеса программ-вымогателей. Но для тех, кто хочет стать частью программы-вымогателя как услуги, по-прежнему доступно множество вариантов, таких как новые операции продолжают появляться.
Таким образом, в то время как аресты и удаления являются эффективными инструментами против тех, кто разрабатывает программы-вымогатели, спрос со стороны тех, кто находится ниже по цепочке, в сочетании с опытные авторы программ-вымогателей используют свои навыки для новых операций, что, вероятно, означает, что новые операции программ-вымогателей будут продолжать появляться даже после того, как спады.
ВИДЕТЬ: Программа-вымогатель: это «золотая эра» для киберпреступников — и ситуация может ухудшиться, прежде чем станет лучше
Маловероятно, что последний раунд арестов внезапно остановит распространение программ-вымогателей. Но они показывают группам программ-вымогателей и окружающим их киберпреступникам, что они не застрахованы от отслеживания. вниз и получения их активов и конфискации требований о выкупе, особенно в связи с тем, что происходит все больше и больше арестов.
«Это по-прежнему прибыльно, так что есть много причин для этого, это все еще не особенно рискованно относительно, но с точки зрения наложения затрат стоимость ведения бизнеса снизилась. вверх», — говорит Киаран Мартин, профессор практики Школы государственного управления имени Блаватника Оксфордского университета и бывший директор Национальной службы кибербезопасности Великобритании. Центр.
«Может быть, они не являются крупными операторами, может быть, они просто играют эпизодические роли, но это все равно имеет влияние, и я думаю, что это все же немного лучше избавляет от чувства безнаказанности программ-вымогателей», — сказал он. добавляет.
Как показали обсуждения в даркнете после арестов, действия против групп вымогателей также могут посеять сомнения в умах тех, кто стоит за кибератаками.
Мало того, что они могут быть более обеспокоены идеей того, что правоохранительные органы выломают их дверь, но это может посеять идею о том, что люди в программе-вымогателе экосистеме нельзя доверять — возможно, правоохранительные органы проникли на форум, или видный участник был внезапно вынужден помочь властям с их расследование.
«Доверие между различными частями этих сетей, вероятно, подорвано», — говорит Мартин.
И если среди сообществ темных веб-вымогателей есть сомнения, это поднимает еще один барьер, который немного усложняет проведение кампаний.
Аресты киберпреступников приветствуются, это то, что решает серьезную проблему кибербезопасности, с которой сегодня сталкиваются организации. показывает, что существуют потенциальные последствия совершения киберпреступлений, но проблема программ-вымогателей не исчезнет внезапно в 2022.
«Это ни в коем случае не конец», — говорит Мартин. «Части этого стали немного лучше, но это по-прежнему главная проблема кибербезопасности нашего времени».
БОЛЬШЕ О КИБЕРБЕЗОПАСНОСТИ
- Злоумышленники-вымогатели нацелились на эту компанию. Затем защитники обнаружили кое-что любопытное
- Боссы думают, что о безопасности позаботились: директора по информационной безопасности не так уверены
- Программы-вымогатели: это лишь вопрос времени, когда умный город станет жертвой, и нам нужно принять меры сейчас
- Мошенники продают доступ к взломанным сетям. Банды вымогателей являются их крупнейшими клиентами
- Эта компания была атакована программой-вымогателем, но ей не пришлось платить. Вот как они это сделали