«После удачной кибератаки нас просили подтянуть кибербезопасность компании»

02.04.202210:45

Редакционное задание — сделать интервью с настоящим хакером — оказалось непростым упражнением. Выйти на контакт с ним человеку, не связанному с темой кибербезопасности, практически невозможно. Нет проблем с мелкими взломщиками, работающими на заказ, — они делают сайты-визитки, оставляют электронную почту для связи, а за тысячу долларов готовы дать даже видеоинтервью. Серьезные хакеры, наоборот, избегают всего, что может их раскрыть. Но неделя в даркнете, закрытые форумы, рекомендации и немного удачи дали свои плоды — нам удалось поговорить с одним из руководителей хакерской группировки, на счету у которой несколько громких взломов международных финансовых организаций.

Как называется ваша группировка и сколько лет она существует?

— Наша группа не имеет никаких опознавательных знаков и маркеров, как, например, у REvil, Lockbit и других. Мы даже не обсуждали это — участники понимают уровень наших операций. Думаю, анонимность — это то, что помогло нам продержаться на плаву 11 лет без особых проблем.

По какому принципу выбираете «жертву» атаки?

— Только из финансовых соображений. Чем больше оборот компании, тем больше она может заплатить.

Может ли компания как-то спровоцировать вас своим поведением?

— Может. Например, скачками криптовалют. В этом случаесразу в поле зрения оказываются криптобиржи и криптоагрегаторы. Та же история и с акциями и фондовыми рынками. Но есть и редкие случаи, когда провоцируют через идеолого-политические убеждения. Мы не любим Америку и когда обижают наш дом.

У вас есть табу?

— Не трогаем государственные, некоммерческие организации, системы здравоохранения и образования. Не работаем против организаций на территории России и стран бывшего СНГ — и по моральным соображениям, и по соображениям безопасности. Зачастую в используемом нами ПО стоит ограничение на запуск на компьютерах ру- или СНГ-сегмента.

Как проводится подготовка к атаке и сколько времени занимает?

— Подготовка проводится с точки зрения анализа и/или таргета жертвы. Анализируется деятельность компании: ее оборот, количество филиалов, используемые методы защиты. Еще проводится анализ конкурентов. Далее уже составляется база потенциальных жертв, выбор способа заражения или атаки. Все зависит от метода атаки — подготовка может занять сутки, а может и год.

Используете собственный софт?

— Исключительно собственные разработки. Иногда для отдельных сегментов ПО прибегаем к помощи сторонних кодеров-фрилансеров, но очень редко.

В даркнете есть масса предложений готовых шифровальщиков. Почему отказываетесь от них?

— Сейчас готовые шифровальщики получили большую популярность, что на самом деле очень плохо для нас. Хакеры сливают исходные коды своих разработок, а на их основе специалисты по безопасности строят выходы и решения. И еще это ведет к деградации комьюнити нашей сферы — слишком много неопытных людей начинают заниматься такой деятельностью, не зная границ. И под их удар идут и частные пользователи, и запрещенные сегменты — больницы, госучреждения…

А с другими хакерскими группировками взаимодействуете?

— Конечно. Мы все общаемся между собой, пишем статьи, изучаем частные проблемы, участвуем в конкурсах. У каждого есть своя сетевая «жизнь»: кто-то занимается «пробивом», кто-то —кодингом, хакингом, различными исследованиями или обучением.

еще по теме:
Взлом на миллион
Как устроен бизнес хакеров-вымогателей и почему российские компании не ведут с ними переговоры
хакинг
Какие компании лучше всего защищены, а какие «сломать» проще?

— Лучше всего защищены компании среднего по обороту сегмента, потому что трепетно относятся к своей безопасности. Проще же работать с большими компаниями, имеющими филиалы и представительства по всему миру. Зачастую в них очень много уязвимостей, которые либо игнорируют, либо просто не замечают. Касаемо общего анализа систем безопасности компаний — они сырые. Множество топ-компаний имеют уязвимости 10–15 летней давности. По нашему опыту, лучше всего защищены компании, так или иначе связанные со СМИ и рекламой.

Сумму выкупа как рассчитываете?

— Она определяется, исходя из анализа оборота компании. Не работаем с компаниями, оборот которых меньше $50 млн. Дело в том, что маленький оборот — это малые процент успеха и сумма выкупа, но много заморочек. По сумме выкупа — это минимум $300 тыс.

Как ведете переговоры?

— Переговоры ведутся с жертвой исключительно в защищенных каналах связи, иногда в мессенджерах собственной разработки. У нас для этого есть специальные люди, которые ведут диалог с жертвой — они заранее изучают, какие у нас есть козыри в рукаве и во что невыплата выкупа может обойтись компании. Если не удается адекватно договориться с жертвой, то переходим к общению с ее конкурентами и инсайдерами. Зачастую выкуп для жертвы выходит дешевле, чем сумма, которую готовы предложить конкуренты за слив данных.

Какие компании чаще всего отказываются платить, а какие платят больше всех? От чего это зависит?

— Больше всего платят компании финансовой сферы, в частности те, что обрабатывают и анализируют персональные данные: кредитные организации и разные финансовые конторы. Бывали случаи, когда после удачной кибератаки они с нами повторно связывались и просили помочь подтянуть общую кибербезопасность, чтобы исключить подобные инциденты в будущем. Сложнее всего вести переговоры с компаниями, связанными с социальными сетями и мессенджерами, — они не дорожат своими клиентами, а утечки информации им ничего не стоят.

А что, если в дело вступает профессиональный переговорщик, представляющий интересы «жертвы»? Усложняет ли он задачу получения выкупа?

— Переговорщики, скорее, упрощают. Обычно они понимают все сложности и риски, с ними проще сторговаться. Сложнее вести диалог с человеком, который не понимает всей сложности возникшей проблемы.

Какой максимальный выкуп вам заплатили? И сколько в среднем можно заработать на взломе?

— Про максимальный выкуп отвечать не буду — это деанонимизирующий вопрос. А в среднем выходит порядка $250 тыс. на каждого участника группы за один выкуп. Касаемо DDoS-атаки, взлома и прочих услуг — все зависит от выбора атаки и жертвы. Цены варьируются от $3 тыс. — это банальный взлом аккаунта соцсети или месседжера, до $30 тыс. Опять же, все зависит от жертвы и бюджета заказчика.

еще по теме:
Хакеры обложили российский бизнес
Организации все чаще платят выкуп за расшифровку собственных данных
бизнес, офис
Как делите прибыль внутри группы?

— Если мы сами добыли уязвимость или доступ, то прибыль распределяется в процентном отношении поровну, вне зависимости от объема работы каждого участника. Когда доступ к сети компании предоставляет сторонний человек, то мы обговариваем его процент и свой. Но и в этом случае наша доля делится поровну между всеми участниками команды.

Итак, выкуп получен, дешифровщик передан. Как заметаются следы?

— Все следы стерты уже на момент оповещения жертвы о произведенной атаке.

А на чем же тогда попадаются хакеры?

— На банальных вещах: приеме и отмывании средств, интервью, демонстрации незадекларированного дохода. Частая большая ошибка — следы в исполняемых файлах. Многие кодеры используют личный почерк, который легко «сдеанонить».

Хакеры — это всегда группа? Есть ли бойцы-одиночки?

— Есть, но редко встречаются. Это самый устойчивый к раскрытию сегмент. Они могут иметь тысячу личностей, а за ними стоит один человек. Таких сложнее всего вычислить. Имеют невзрачный ник типа «ivan3728388» и никогда не светятся, даже на теневых площадках.

Если хакер-одиночка самостоятельно выбирает «график» и оценивает свои возможности и безопасность, то в группировке должна быть структура и дисциплина. Есть ли в вашей команде иерархия или право вето, когда, например, участник останавливает атаку из-за плохого предчувствия?

— Да, иерархия есть. У начала стоят три человека — только у них есть специальные инструменты, которые применяются в критической ситуации. К примеру, бэкдоры. Все остальные участники могут уйти из группировки в любой момент. Спорные ситуации по поводу выбора жертв бывают редко, чаще решаем судьбу какого-либо сотрудника за излишнюю болтовню или неправильное поведение.

А как выбираете новых взамен ушедших?

— Интересный вопрос. Сначала изучаем кандидата: пробиваем по форумам и другим тематическим площадкам. Наблюдаем за его поведением и общением, определяем его технические навыки. Отличным показателем будет, если кто-то из команды может за него поручиться.

Обязательным условием является первый депозит — он варьируется от $3 тыс. до $20 тыс. и позволяет отсеять несерьезных претендентов. Депозит возвращаем после первой успешной операции с его участием.

Много ли вообще хакерских группировок в СНГ? Отличаются ли чем-то от европейских или американских?

— Зачастую группировки не имеют границ. Интернационал. В группе могут быть люди из совершенно разных стран. Чем отличаются?.. Да ничем, кроме менталитета. А объединяет всех финансовое положение зарубежных стран — в них много денег. Нет смысла воровать в Индии или России, где средняя зарплата $200.

Боитесь ареста? Как относитесь к задержанию коллег?

— Пойманный коллега — больше не коллега. Работа с ним навсегда прекращается.

Хакеры уходят из бизнеса добровольно?

— Уходят, часто. Добровольно. Многие начинают «параноить». Не все выдерживают психологической нагрузки, начинают пить, употреблять вещества. Некоторые уходят для того, чтобы открыть свой бизнес и вести законную, белую деятельность. Потом кто-то возвращается — те, кого привлекают не только деньги, но и сам процесс. После нашей жизни сложно жить обычной.

Думали когда-нибудь о переходе на «белую» сторону? Поступали предложения из сферы кибербезопасности?

— Было много предложений, но «белую» сторону не рассматривал, это два совершенно разных типа мышления. Не знаю никого толкового, кто бы все бросил и пошел работать в антивирусную компанию. А вот единичные консультации и помощь предоставляем.

За что, на ваш взгляд, на самом деле арестовали основателя Group-IB Илью Сачкова?

— Думаю, что Сачков либо не тем помог, и это нарушило ход привычных действий, например кого-то оскорбило, либо отказал или не смог выполнить ту или иную услугу. То есть показал себя бесполезным. Близость к власти является гарантией безопасности от всех, кроме этой же власти и ее друзей.

Чего ждать от теневого хакинга в будущем? Усложнится ли процесс взлома?

— Учитывая глобальную оцифровку всех видов деятельности — появляется еще больший полигон для испытаний. Но ничего принципиально нового не будет: как все работали, так и продолжат. Сколько бы новых гаек ни закрутили, всегда найдутся способы раскрутить. Не будет хакеров, не будет и антивирусов, систем безопасности и прочего — хакеры нужны всей этой индустрии. Такой вот совместный эволюционный процесс.