В своем коммюнике, принятом после мероприятия в Карбис Бэй, G7 сообщила о намерении совместно бороться с киберпреступниками. Спустя несколько дней после этого президент США Джо Байден встретился с президентом России Владимиром Путиным. Они обсуждали в том числе и вопрос экстрадиции российский киберпреступников в США для судебного разбирательства. По последним данным, Путин согласился на сотрудничество с Байденом, но настоял на том, что экстрадиция должна быть обоюдной. То есть и РФ, и Соединенные Штаты Америки должны передать преступников друг другу. Пока неясно, достигнут ли главы государств соглашения по экстрадиции, но если это в итоге случится, то кого именно надо отправить в другое государство, кого будут судить и за что?
Проблема в плане законодательства заключается в неоднозначности вирусов-вымогателей, которые крадут правительственные данные или данные крупных организаций и требуют за их возвращение выкуп, а также тех, кто подобные программы распространяет. Мало того что использование такого вредоносного ПО подразумевает нарушение сразу нескольких законов, так подобные преступления еще и затрагивают сразу несколько юрисдикций. К тому же правоохранительным органам крайне тяжело выявить преступника, потому что вирусы-вымогатели распространяются через крупные преступные сети между незнакомыми друг с другом специалистами, чтобы снизить риск ареста для всех подельников.
Поэтому важно в деталях рассмотреть подобные хакерские атаки, чтобы понять, как США и страны G7 планируют бороться с нарастающим количеством киберпреступлений. Количество прецедентов за время пандемии значительно увеличилось: только в мае 2021 года зафиксировано по меньшей мере 128 случаев кражи данных с последующим вымогательством.
Специалисты считают, что правительственные органы слабо себе представляют, как организована киберпреступность и какие стратегии они используют при нападении на госорганы и крупные корпорации.
Индустрия вирусов-вымогателей пагубно влияет на размеренную жизнь людей. Именно хакеры в ответе за огромное количество массовых «сбоев» в работе критически важных служб и структур по всему миру. Из-за них корпорации теряют миллионы долларов. Кроме того, украденная информация начинает циркулировать в цифровых криминальных кругах и всячески провоцирует новые преступления.
Из-за подобных методик работы появляются новые криминальные элементы: люди, которые якобы совершают атаку и распространяют вирусы, – это не те же люди, кто планирует украсть конфиденциальные данные крупной корпорации или даже целой страны. И обеим звеньям этой цепочки помогают различные инструменты киберпреступной экосистемы, чтобы еще больше запутать правоохранительные органы и повысить шансы на успешную атаку.
Как работают хакеры-вымогатели?
Специалист по информационной безопасности Дэвид Уолл (David Wall) описывает несколько этапов реализации атаки, который он вывел после анализа 4000 взломов, совершенных в период с 2012 по 2021 годы.
Сначала злоумышленники проводят своего рода разведку: находят потенциальных жертв и способы внедрения вирусов в их сеть. Чаще всего это превращается в поиск уязвимостей в безопасности программного и аппаратного обеспечения крупных компаний и государственных организаций. Затем потенциальные взломщики пытаются получить первичный доступ в сеть будущей жертвы, используя хакерские навыки (проникая во внутреннюю сеть через брешь в безопасности серверов) или покупая актуальные данные для входа во внутреннюю сеть компании через даркнет.
Получив первичный доступ, хакеры начинают искать способы стать «более привилегированными пользователями», чтобы у них появилась возможность просматривать критически важные для жертвы данные, кража которых больше всего повлияет на деятельность организации, ее репутацию и т.п. По этой причине хакеры чаще атакуют медицинские организации и полицию. У них есть чем «поживиться», к тому же владельцы украденной информации точно захотят за нее заплатить.
После того как преступники находят то, что можно украсть, они копируют эти данные к себе. И только после этого переходят к инъекции и запуску вируса-вымогателя, чтобы сообщить пострадавшим о том, что информация похищена.
Следующий этап – блокировка доступа к важной информации и инициализация вредоносного программного обеспечения. Тут же пострадавший оказывается среди взломанных ресурсов на специальном сайте в даркнете. На нем публикуется своего рода пресс-релиз, в котором хакеры рассказывают о том, насколько они хороши и как облажались их «оппоненты», а также указывают требования, исполнение которых позволит избежать дальнейших утечек.
Успешная атака для злоумышленников заканчивается переводом необходимой суммы на криптокошелек, по которому крайне тяжело отследить вымогателей. Затем эти деньги «отмываются» через конвертацию в фиатную валюту. Часто большую часть денег преступники тратят на техническое оснащение и комиссию посредников, чтобы их не поймала полиция.
Киберпреступная экосистема
Теоретически все этапы атаки можно пройти в одиночку, но на практике это маловероятно. Чтобы сократить шанс оказаться в тюрьме, злоумышленники объединяются в группы. Каждый из ее участников – мастер своего дела. Он специализируется на конкретной стадии взлома и исполняет ее предельно профессионально. Во-первых, это снижает риски провалить дело. Во-вторых, подобная взаимозависимость выступает в роли амортизации уголовной ответственности для каждого взломщика.
В мире киберпреступников, как и в MMO-видеоиграх, есть масса специализаций. Есть спамеры, заказывающие спам-рассылки и соответствующее программное обеспечение, есть фишеры, ворующие данные через почтовые рассылки, скамеры, совершающие мошеннические сделки в сети и ворующие персональные данные своих жертв, а также брокеры из даркнета, умеющие дорого продать украденную информацию.
Есть брокеры, специализирующиеся на первичных взломах: они добывают часть информации, а затем продают логины и пароли для полного доступа к предложенной информации.
Для координирования всех киберпреступников существуют онлайн-магазины в даркнете, где все желающие могут продавать или покупать различные криминальные сервисы. Там же обитают те, кто отмывает незаконным путем заработанные криптомонеты и конвертирует их в фиатную валюту. Ну и переговорщики, которые помогают преступнику и жертве «уладить сделку».
Что с этим делать?
Правительственные органы и полицейские не сидят на месте и постоянно придумывают новые методы борьбы с киберпреступниками. Например, после встречи G7 в Корнуэлле в июне 2021 года украинские и южнокорейские правоохранительные органы скоординировались и поймали членов печально известной группы хакеров CL0P. В то же время россиянина Олега Кошкина полиция США обвинила в использовании программы-шифровщика, с помощью которой преступники рассылают вирусы, оставаясь при этом незамеченными для антивирусного ПО.
И пока разработки в области безопасности видятся специалистам весьма многообещающими, киберпреступники не стоят на месте и постоянно развивают свою экосистему. И как бы правоохранительная система не оттачивала методики поимки взломщиков, она всегда отстает на шаг, потому что не может найти заказчиков преступления, да и гибкость государственных систем отстает от таковой у хакеров. Поэтому не факт, что налаженная экстрадиция между США и Россией сможет улучшить ситуацию.
Источник: https://timeweb.com/ru/community/articles/kak-ustroen-biznes-hakerov-vymogateley