Junior Member
Join Date: Feb 2025
Posts: 16
|
Примечание редактора: нельзя отрицать, что программы-вымогатели в настоящее время являются крупным источником дохода от киберпреступности. И некоторые группы, стремящиеся разбогатеть, агрессивно раздвигают границы, повышая свои требования до семизначных или восьмизначных сумм, угрожая опубликовать данные в Интернете, если платежи не будут произведены, и нацелены на больницы и другие уязвимые организации.
Одна группа, получившая известность благодаря своей смелой и прибыльной тактике, - это REvil, также известная как Sodinokibi. Группа запустила операцию "программа-вымогатель как услуга", в рамках которой разработчики продают вредоносное ПО партнерам, которые используют его для блокировки данных и устройств организации.
Помимо публикации данных о жертвах в Интернете, когда компании не предъявляют требований, REvil привлекает внимание своими попытками вымогательства даже у недавнего президента Дональда Трампа и утверждениями о получении 100 миллионов долларов дохода от своей деятельности. По словам представителя REvil, который использует псевдоним "Unknown", у группы большие планы на 2021 год.
Некоторые из заявлений Unknown, такие как наличие аффилированных лиц, имеющих доступ к системам запуска баллистических ракет и атомным электростанциям, кажутся диковинными - пока вы не прочитаете отчеты, которые заставят их казаться устрашающе правдоподобными. Издание не может проверить эти утверждения. Unknown недавно поговорил с экспертом по анализу угроз компании Recorded Future Дмитрием Смилянецом об использовании программ-вымогателей в качестве оружия, о том, чтобы не вмешиваться в политику, экспериментировать с новыми тактиками и о многом другом. Интервью было проведено на русском языке, переведено на английский с помощью профессионального переводчика и отредактировано для ясности.
D: Unknown, как вы решили заняться бизнесом в сфере ransomware?
U: Если говорить лично, это было очень давно. С 2007 года, когда появились винлокеры и смс. Уже тогда это приносило неплохую прибыль.
D: У вас был депозит в 1 миллион долларов на хакерском форуме, и вы упомянули доход в 100 миллионов долларов - учитывая, что вы получаете платежи в криптовалюте, сегодня у вас, вероятно, есть полмиллиарда долларов. Сколько Вам нужно, чтобы вы отказались от программ-вымогателей?
U: Вы все правильно посчитали. Депозит вывели именно из-за курса обмена. Лично для меня нет потолка для суммы. Я просто люблю это делать и получать от этого прибыль. Денег никогда не бывает слишком много, но всегда есть риск их нехватки. Хотя, если говорить о рекламодателях, один посчитал, что 50 миллионов долларов достаточно, и можно идти на пенсию. Однако через четыре месяца вернулся - денег оказалось мало. Подумай об этом.
D: Ранее вы говорили, что остаетесь аполитичным и у вас чисто финансовая мотивация. Но если вы решите, что заработали достаточно денег, может ли ваша точка зрения измениться и вы решите повлиять на геополитику?
U: Я действительно не хочу быть разменной монетой. Мы замахнулись на политику, и ничего хорошего из этого не вышло - только потери. При нынешних геополитических отношениях, нам все это очень выгодно даже без какого-либо вмешательства.
D: Что делает REvil таким особенным? Код? Афилированные лица? Внимание СМИ?
U: Думаю, все это работает вместе. Например, это интервью. Кажется, зачем это вообще нужно? С другой стороны, лучше мы его дадим, чем наши конкуренты. Необычные идеи, новые методы и репутация бренда - все это дает хорошие результаты. Как я уже сказал, мы создаем новую ветку разработки по вымогательству. Если посмотреть на конкурентов, то, к сожалению, многие просто копируют наши идеи и, что самое удивительное, стиль текста наших сообщений. Это хорошо - они пытаются показать, что они не хуже нас, пытаются достичь уровня и даже стремятся в чем-то превзойти. А в некоторых вещах они уже лучше. Например, с этими версиями под Linux и так далее. Но это временно. Конечно, мы над всем этим тоже работаем, но с одной оговоркой - все будет намного лучше. Но не сразу.
Screen-Shot-2021-03-15-at-9.28.38-AM-1024x827.png
D: Криптография на основе эллиптических кривых (ECC) была действительно хорошим выбором [примечание редактора: ECC имеет меньший размер ключа, чем система открытых ключей на основе RSA, что делает ее привлекательной для аффилированных лиц] Чем еще вы гордитесь, какой частью код? Как вы решаете, когда пора добавлять в код новые функции?
U: Поиск по IOCP [порт завершения ввода/вывода], обратное соединение позаимствовано у crabs [кардеров], система защиты на стороне сервера - преимуществ много, лучше почитать обзоры AV. Лично мне система шифрования очень нравится. Получилось почти идеально.
D: Меня впечатлило разнообразие упаковщиков и шифровальщиков, которые я обнаружил у вашего вредоносного ПО. Вы продаете их другим? Однажды я видел, как один из них использовался в образце вредоносной программы Maze. Вы их продаете или один из ваших сотрудников перешел к конкуренту?
U: Партнеры часто меняют партнерские программы, и из-за этого такое разнообразие.
D: Павел Ситников сказал, что вы купили код GandCrab у Максима Плахтия, это правда?
U: Это правда, что мы его купили, но имена и прочее нам неизвестны. Даже если это был Rotten Gen, нам все равно.
D: Вы верите, что программы-вымогатели - идеальное оружие для кибервойны? Вы боитесь, что однажды может начаться настоящая война?
U: Да, как оружие это может быть очень разрушительным. Что ж, я знаю по крайней мере, что несколько партнеров имеют доступ к системе запуска баллистических ракет, один - к крейсеру ВМС США, третий - к атомной электростанции, а четвертый - к оружейному заводу. Вполне реально начать войну. Но оно того не стоит - последствия невыгодны.
D: Какие еще регионы, помимо СНГ [в основном состоящих из постсоветских республик], вы стараетесь избегать? Какие организации никогда не платят?
U: Все страны СНГ, включая Грузию и Украину. В первую очередь из-за геополитики. Во-вторых, из-за законов. В-третьих, для некоторых из-за патриотизма. Не платят очень бедные страны - это Индия, Пакистан, Афганистан и так далее.
D: Вы ранее упоминали, что вы и ваши партнеры понимаете риски выезда за границу и не путешествуете. Как вы думаете, могут ли быть "ветры перемен" и местные правоохранительные органы обратят внимание на ваши операции?
U: Если мы займемся политикой, то да. Если мы посмотрим на страны СНГ, то да. Во всем остальном мы остаемся нейтральными.
D: Преступники старой школы вызывают какие-то проблемы?
U: Нет.
D: Какова ваша обычная реакция, когда вы видите, что банда вымогателей или ее партнера арестовывают? Netwalker и Egregor сократили свои операции после рейдов, как вы к этому относитесь?
U: Нейтрально. Это нормальный рабочий процесс. В связи с закрытием Maze мы только увеличили количество перспективных партнеров. Так что для нас, я бы сказал, это в некотором смысле позитивно.
D: Какое количество аффилированных лиц у вас было больше всего за один раз?
U: 60.
D: Когда они уходят, это потому, что они покончили с программой-вымогателем, или потому, что они перешли на другую программу-вымогатель, чтобы получить более выгодные цены? Создает ли у вас какие-либо проблемы, когда партнер переходит к конкуренту?
U: В этом определенно есть две стороны. 30% уходят, потому что достаточно заработали. Но, естественно, они всегда рано или поздно возвращаются. В противном случае да, они переходят к конкурентам, которые сбрасывают ставки (до 90% и т.д.). Конечно, это неприятно, но это конкуренция. Это означает, что мы должны сделать так, чтобы люди вернулись. Дайте им то, чего не делают другие.
D: Некоторые операторы отдают процент от заработка на благотворительность. Каково ваше мнение по этому поводу? Кому бы вы хотели пожертвовать миллион?
Screen-Shot-2021-03-15-at-9.36.18-AM-1024x455.png
U: Бесплатные проекты для анонимности.
D: Как изменилось ваше взаимодействие с организациями жертв с начала пандемии?
U: Все изменилось. Кризис ощутимый, они не могут платить те суммы, которые были раньше. За исключением производителей фармацевтической продукции. Думаю, на них стоит уделять больше внимания. У них все в порядке. Нам нужно им помочь.
D: Ваши операции нацелены на организации, которые имеют киберстрахование?
U: Да, это одна из самых вкусных закусок. Особенно для того, чтобы сначала взломать страховщиков - получить их клиентскую базу и оттуда работать целенаправленно. А после того, как вы пройдетесь по списку, уже бить куда нужно.
DS: Как вы относитесь к участникам переговоров ? Легче ли иметь дело с профессионалами? Они помогают или усложняют задачу?
U: 70% нужны только для того, чтобы сбить цену. Очень часто они усложняют задачу. Ну, например, у компании выручка 1 миллиард долларов. С них требуют выкуп 1 миллион долларов. Приходит переговорщик и говорит: нам все равно, больше 15000 долларов мы не дадим. Снижаем цену до 900 000 долларов. Он предлагает 20 000 долларов. Что ж, тогда мы понимаем, что разговор с ним бессмыслен, и начинаем публиковать данные, чтобы владельцы сети ударили его по голове за такие переговоры. И, конечно же, после таких уловок цена только возрастает. Вместо 1 миллиона долларов заплатят полторы. Никто не любит торгашей, особенно понты. Так что чаще всего они причиняют больше вреда. Они помогают только при покупке BTC или Monero.
D: Вы рекомендуете скомпрометированным компаниям каких-либо конкретных переговорщиков или они действуют самостоятельно? Не у всех есть 100 BTC для выкупа данных, и это не так-то просто получить в короткие сроки.
U: Мы пишем приличным посредникам, чтобы они знали цель, чтобы они могли связаться сами. Хорошим посредникам мы даем хорошие скидки, чтобы они получали небольшую прибыль, а компании платили меньше. А что касается сроков - мы всегда можем выделить дополнительное время. В общем, если есть понимание, что надо платить, других вариантов нет, но не так много, мы найдем общий язык. Но если мы получаем бредовые сообщения типа "Денег нет" или "Мы заплатим одну десятую", вам некого винить, кроме себя.
Sodinokibi-_-REvil-1615918590215-1024x698.png
D: Вы сказали, что хотите оказывать дополнительное давление с помощью DDoS [примечание редактора: распределенные атаки типа "отказ в обслуживании" включают наводнение сайта нежелательным трафиком, что делает его недоступным]. Насколько эффективна эта схема?
U: Используем не часто, в отличие от звонков. Обзвон дает очень хороший результат. Обзваниваем каждую цель, а также их партнеров и журналистов - давление значительно возрастает. И после этого, если вы начнете публиковать файлы, ну, это просто великолепно. Но применять в конце DDoS - значит убить компанию. В прямом смысле. Я также думаю, что мы расширим эту тактику до преследования генерального директора и/или основателя компании. Личный OSINT, издевательства. Думаю, это тоже будет очень интересный вариант. Но жертвы должны понимать, что чем больше ресурсов мы потратим до выплаты выкупа - все это будет включено в стоимость услуги. =)
D: Расскажи мне секретик про себя.
U: В детстве я рылся в помойках и курил окурки. Я ходил 10 км в одну сторону до школы. Я носил одну и ту же одежду шесть месяцев. В юности в коммуналке два-три дня ничего не ел. Теперь я миллионер ? ? ?
|
02-17-2025, 12:58 PM
Linear Mode
