Работа по графику, премии и отпуск: как хакеры «строят карьеру» и почему киберпреступники становятся все больше похожими на офисных клерков

Что произошло

Компания Group-IB выпустила отчет о русскоязычной группе хакеров-вымогателей Conti, которую назвала одной из самых агрессивных и успешных. Обычно злоумышленники внедряют в устройства жертв (как правило, это крупные компании) вредоносные программы, которые зашифровывают важные файлы. За их расшифровку хакеры требуют выкуп, а если не получают денег — публикуют файлы в открытом доступе. 

• По данным специалистов, за 2 года в списке Conti набралось более 850 жертв, среди них — международные корпорации, госведомства и даже целое государство Коста-Рика, где после атаки ввели чрезвычайное положение (это первый прецедент такого масштаба). С начала 2022 года Conti опубликовали данные 156 компаний, вероятно, отказавшихся платить выкуп. 
• Group-IB проанализировали одну из самых «молниеносных и продуктивных» кампаний Conti, которую назвали ARMattack: чуть больше чем за месяц в ноябре – декабре 2021 года вымогателям удалось скомпрометировать свыше 40 организаций по всему миру. Большинство из них находятся в США и Европе. Самая быстрая атака заняла всего 3 дня, говорится в докладе. 
• Эксперты отметили, что география атак Conti довольно обширна и не включает Россию — ранее группа открыто назвала себя «патриотами». Наибольшее количество атак приходится на США (58,4%), за ней следуют Канада (7%), Великобритания (6,6%), Германия (5,8%), Франция (3,9%) и Италия (3,1%). 
• Компания впервые провела анализ «рабочих часов» Conti: в среднем вымогатели трудятся по 14 часов в день, 7 дней в неделю. 

Conti — это «криминальная ИТ-компания», у которой есть свои отделы кадров, исследований и разработки, разведки по открытым источникам, а также регулярная выплата зарплат, система мотивации и отпуска, утверждает Group-IB.

Перспектива 

Эксперты Group-IB обратили внимание на то, что в структуре хакерской группировки есть ряд проблем.

• В конце февраля в группе произошел раскол — после того как Conti открыто объявила о поддержке РФ после начала спецоперации в Украине, один из ее «сотрудников» «слил» в Сеть внутренние данные группировки — переписку, список жертв, а также информацию о серверах и Bitcoin-кошельках злоумышленников.
• Как отметили в Group-IB, «из утечки стало известно, что у Conti — серьезные финансовые проблемы, а ее «шеф залег на дно».
• «Что будет в дальнейшем с группой — продолжение работы, большой ребрендинг или ее «дробление» на маленькие подпроекты, — на данный момент сказать сложно. Однако очевидно, что группа продолжит активность либо сама, либо с помощью своих «дочерних» проектов», — заявил аналитик Group-IB Иван Писарев.

Тенденция

Масштаб «работы» Conti показал, что программы-шифровальщики — это больше не «игра среднестатистических разработчиков вредоносного ПО», а целая индустрия, дающая работу сотням киберпреступников разного профиля во всем мире, заявили в Group-IB.

• Хакеры теперь атакуют не только ради финансовой выгоды, но и ради общественного резонанса, отметили эксперты.
• Корпорации по всему миру укрепляют защиту ресурсов и критически важной инфраструктуры от хакеров. Например, в 2021 году Google заявила, что за 5 лет вложит более $10 млрд в обеспечение и укрепление кибербезопасности, Microsoft планирует выделить на те же нужды $20 млрд за тот же срок. Кроме того, компании по всему миру готовы платить специалистам тысячи долларов за обнаружение в их системах уязвимостей.
• Способы борьбы с киберпреступниками ищут и власти. Например, в США в 2021 году после серии кибератак объявили о создании специального бюро по борьбе с хакерскими атаками, в 2019-м кибервойска для защиты от действий хакеров создала Великобритания. 
• В России в 2018 году создали Национальный координационный центр по компьютерным инцидентам. Он занимается предупреждением, обнаружением и ликвидацией последствий цифровых атак.

Расклад сил

Помимо русскоязычной Conti, эксперты по компьютерной безопасности выделяют и другие «самые опасные» киберпреступные группировки.

• Среди них — DarkSide, которая стояла за атакой на инфраструктуру трубопровода Colonial Pipeline в мае 2021 года. По нему доставляют топливо из Техаса на восточное побережье США. Атака на трубопровод спровоцировала нехватку бензина в стране, в нескольких штатах объявили чрезвычайное положение. Как отметили в Group-IB, DarkSide — это не группа в традиционном понимании, а, скорее, партнерская программа для хакеров — ее разработчики «сдают в аренду» свои вредоносные программы «коллегам».
• Группировка Clop появилась в 2019 году и к 2021-му своими атаками добилась выкупов, общая сумма которых достигла $500 млн. По словам экспертов, Clop, как и DarkSide, занимается атаками на крупные компании: среди жертв группы были Shell и даже Банк Новой Зеландии.
• Вымогатели из REvil приобрели известность после атаки на системы крупнейшего в мире производителя мяса JBS — в итоге корпорация выплатила хакерам $11 млн. Однако среди их жертв есть и множество других компаний. По словам экспертов, REvil — «яркий пример угрозы для небольших предприятий».
• Syrian Electronic Army стала заметна в 2011 году, во многом деятельность группировки связана с политическими событиями. Чаще всего злоумышленники взламывают СМИ, имеющие репутацию надежного источника информации, с целью публикации фейковых данных, выдавая их за настоящие. Например, в 2013 году им удалось опубликовать твит с официального аккаунта информагентства Associated Press о взрывах в Белом доме и получившем травмы экс-президенте США Бараке Обаме. Публикация привела к обвалу на фондовых рынках.
• FIN7 начали проводить атаки в 2012 году, группировка взламывает компании, чтобы перепродать их данные заинтересованным лицам, причем долгое время их деятельность оставалась незамеченной. По неподтвержденной информации, в начале 2017 года именно FIN7 стояла за атакой на компании, которые предоставляли документы в Комиссию по ценным бумагам и биржам США. Ущерб от действий хакеров оценивается более чем в $1 млрд.