Як частина геополітичної стратегії, банди кібер-вимагання націлені лише на певні частини світу

На початку травня 2021 року Colonial Pipeline, один з найбільших приватних паливних трубопроводів на східному узбережжі США, був атакований зловмисниками, які вимагали програм-вимагачів для розшифровки даних, які були мішенню. Цей напад паралізував постачання палива та викликав паніку серед громадян щодо зберігання газу.

Атаки програм-вимагачів сьогодні не є рідкістю, оскільки останнім часом сталася хвиля атак на великі корпорації. Головна проблема полягала в тому, що ця атака переросла в дипломатичну кризу між США та Росією, оскільки відомо, що нападники походять із Росії, і загальна думка полягала в тому, що російський уряд захищає ці кібератаки.

Російський буфер

Один із сумнозвісних хакерів з Росії, DarkSide, брав участь у багатьох атаках програм-вимагачів, роблячи це самостійно або продаючи інструменти для злому програм-вимагачів іншим. Це професійна група з веб-сайтом і службою підтримки, а також канал зв’язку з жертвами для переговорів про викуп. Ця група уникає атак на будь-яку комп’ютерну систему, створену російською мовою, і минулі результати показують, що вона не націлена на колишні радянські держави чи країни Співдружності, які мають дружні стосунки з Росією. Насправді він має жорстко запрограмовані країни, де він не встановлює шкідливе програмне забезпечення. Наприклад, країни були закодовані, наприклад, російська-419 або українська-422 тощо. Це кодування робиться для того, щоб щоразу, коли шкідливе програмне забезпечення націлиться на систему, вони перевіряли наявність цих кодів. Якщо знайдено, вони виходять і не встановлюються.

Однак цей підхід не є надійним, оскільки немає гарантії, що ці коди або використання російської мови безпечно захистять комп’ютер Windows від шкідливих програм Darkside. Існує велика ймовірність того, що Darkside також пов’язаний з REvil, іншим зловмисником, який нещодавно атакував JBS, найбільшого виробника яловичини в США. Це видно з того, що обидві групи уберегли дружні країни, такі як Сирія, від будь-яких нападів. Після розкриття REvil JBS Darkside оголосила, що закривається, оскільки його біткоїни та сервери були захоплені, показуючи зв’язок між двома групами.

Пандемія Covid призвела до активізації кібератак. Більшість систем стали вразливими через те, що інженери та системи працювали вдома з недостатньою кібербезпекою для їхніх домашніх систем.

За словами фірми з кібербезпеки KrebsOnSecurity, шкідливе програмне забезпечення з Росії просто не встановлюється на комп’ютер, на якому встановлені віртуальні клавіатури російською чи українською мовою. Це не означає, що збереження будь-якої з цих мов у системі забезпечить захист, оскільки зловмисне програмне забезпечення зазвичай не піклується про країни, до яких належить система. Тому доцільно застосувати поглиблений кіберзахист системи та уникати ризикованої поведінки в Інтернеті.

Спосіб дій зловмисників-вимагачів полягає у тому, щоб націлюватися на великі корпорації. Раніше це обмежувалося ІТ або банківськими системами, де крадіжка даних була основною метою. У подальшому ця зловмисна діяльність пішла на крок вперед і почала націлюватися на роздрібні ланцюги постачання харчових продуктів, а потім на паливопровід. Вони зашифрували дані, які є життєво важливими для логістики ланцюга поставок найважливіших товарів, що призвело до збою в системі та спричинило паніку всюди.

Протистояння

Усна війна між Росією та США загострилася. Сполучені Штати звинуватили Росію в тому, що вона діє як захисний притулок для хакерів, толеруючи їхню діяльність, якщо вона спрямована за межі Росії. США та союзники вважають, що Росія є базою для DarkSide і REvil, кіберзлочинних груп, пов’язаних з нещодавніми гучними атаками програм-вимагачів на Colonial Pipeline і операціями в США JBS, бразильської компанії, найбільшого постачальника м’яса в світі.

Хоча такого роду напади з боку недержавних суб’єктів можна тлумачити як акт війни, зловмисники швидко заявили про те, що вони не причетні або не хочуть займатися геополітикою. Їх головною метою було заробити гроші. DarkSide та інші її філії заборонили своїм партнерам встановлювати шкідливе програмне забезпечення на комп’ютерах у багатьох дружніх країнах Східної Європи, включаючи Україну та Росію. Ця стратегія існує з моменту її заснування з метою мінімізації контролю та втручання з боку місцевих органів влади.

Російська влада зазвичай не проводить розслідування кіберзлочинів проти одного зі своїх хакерів, якщо хтось у країні не подає офіційну скаргу як потерпілий. Це дозволяє хакерам гарантувати, що жодні афілійовані особи не можуть стати жертвами у їхніх країнах, і є простим виходом для зловмисників, таких як DarkSide, щоб уникнути юридичних агентств у Росії.

Заходи захисту від нападів

Антивірусні та охоронні фірми вважають, що додавання записів до реєстру Windows вказує, що система працює як віртуальна машина (VM). Це може перешкодити авторам зловмисного програмного забезпечення, які налаштували своє зловмисне програмне забезпечення на припинення встановлення, якщо воно виявить, що воно працює у віртуальному середовищі. Багато організацій уже перейшли на віртуальні середовища. Навіть програмне забезпечення, яке ми бачимо зараз, працює на віртуальних машинах.

Інший спосіб — додати організації з мовою зі списку країн СНД або додати посилання на російську мову в окремі ключі реєстру Windows, які перевіряються шкідливими програмами. Сценарій дозволяє комп’ютеру з Windows виглядати так, ніби на ньому встановлена російська клавіатура, фактично не завантажуючи додані бібліотеки сценаріїв від Microsoft.

Зміна певного запису реєстру на «RU», коротка форма для російської мови, або встановлення кириличної клавіатури може бути достатнім, щоб переконати зловмисне програмне забезпечення, що система є російською, і, отже, не повинна бути націлена на неї. Технічно це можна вважати «вакциною» проти російського шкідливого програмного забезпечення, хоча вона не є надійною. Багато людей використовують цей метод, який може захистити їх у короткостроковій перспективі. Тоді вибір залишається за хакерами, які в кінцевому підсумку відчують ушкодження. Їм доводиться вибирати, чи хочуть вони ризикнути втратити юридичний захист в Росії, чи ризикнуть втратити прибуток у разі скарги.

Висновки

Шум з приводу недавньої атаки призвів до того, що DarkSide заявила, що закриває свою діяльність, оскільки єдиною метою є заробляти гроші, а не викликати соціальні потрясіння. Вони також взяли на себе зобов’язання забезпечити, щоб їхні партнери у злочині перевіряли, чи не матиме майбутня атака на їхню цільову організацію соціальні наслідки. Ця заява сама по собі неоднозначна, бо збоку кажуть, що закривають магазин. З іншого боку, вони хочуть, щоб їхні партнери вибирали цілі. Це вказує на те, що кібер-мотиватори, такі як DarkSide, знову з’являться через деякий час під новою ідентичністю, коли все охолоне.