Интервью с оператором рансомвари Lockbit

[Artifact]

Введение
В сентябре 2020 года Cisco Talos установила контакт с оператором, назвавшим себя LockBit, и опытным злоумышленником. В течение нескольких недель мы провели несколько интервью, в ходе которых мы получили редкую информацию из первых рук о киберпреступной деятельности оператора-вымогателя. Благодаря этому обмену мнениями мы сделали несколько ценных выводов для руководителей и более широкого сообщества специалистов по кибербезопасности.
Компании и стратеги по безопасности часто больше всего обеспокоены многочисленными угрозами, привлекающими большое внимание средств массовой информации, - угрозами, связанными с APT, сложными TTPs и крупномасштабными взломами, которые обходятся организациям в миллионы долларов. Однако часто упускается из виду более распространенный и простой тип угроз, представленный оператором LockBit, с которым мы говорили. Хакер якобы самоучка и всегда в курсе последних разработок в области кибербезопасности, превращая новые исследования в оружие для будущих атак. Он действует один, без поддержки со стороны большой группы или государственного деятеля. Он использует хорошо известную тактику, в значительной степени полагаясь на распространенные инструменты, такие как Mimikatz, PowerShell и другие, вместо того, чтобы использовать уязвимости нулевого дня или использовать более сложные методы. Он ищет цели с хорошо известными проблемами безопасности, которые можно легко эксплуатировать, и, как и многие преступники, он говорит, что ищет лишь скромных финансовых выгод, чтобы прокормить свою семью.
TTPs этого хакера напоминают нам о необходимости проявлять бдительность в отношении этих, казалось бы, бесхитростных, обычных киберпреступников, которые, несмотря на их прямой подход к нацеливанию и операциям, по-прежнему успешно компрометируют компании и сеют хаос среди ничего не подозревающих жертв. Ниже приведены наши ключевые выводы для руководителей и защитников сети из нашего интервью с этим оператором LockBit:
- Злоумышленники продолжают рассматривать системы без исправлений как простой, если не самый предпочтительный метод вторжения. Обычное исправление может быть затруднено, особенно для крупных организаций, и злоумышленники тоже это знают. Чаще всего эксплуатируются уязвимости, которые хорошо известны с помощью общедоступного кода эксплойтов.
- Многие киберпреступники полагаются почти исключительно на распространенные инструменты с открытым исходным кодом, которые легко доступны в Интернете и просты в использовании. Они не стремятся изобретать велосипед, и повторное использование инструментов является для них более быстрым и эффективным способом выполнения своих операций, чем использование более сложных средств. Компании должны больше всего беспокоиться об инструментах и тактике, которые, вероятно, также используются их собственными RED TEAM.
- Киберпреступники - жадные потребители новостей в области безопасности и всегда в курсе последних исследований и уязвимостей, превращая эту информацию в оружие для использования в будущих атаках. Они часто самоучки и жаждут постоянных знаний, и этот менталитет почти гарантирует, что они всегда будут обновлять свои TTPs и искать новые способы сделать свои атаки более успешными. Организациям следует поощрять свои группы безопасности к продолжению собственного обучения - не только путем получения признанных в отрасли сертификатов безопасности, но и путем ознакомления с последней информацией из открытых источников, проведения собственных исследований и пристального отслеживания тенденций в ландшафте угроз.
- В то время как злоумышленники могут публично заявить, что их личная этика влияет на выбор цели, многие злоумышленники преследуют самых простых жертв, несмотря на какие-либо моральные обязательства, как показывает наш опыт. Мы полагаем, что школы, поставщики медицинских услуг и организации, связанные с реагированием на COVID-19, остаются очень важными целями - несмотря на противоположные заявления участников угроз - с учетом их обычно недостаточно финансируемых групп кибербезопасности и низкой терпимости к простою.
В этом отчете также есть компонент, связанный с человеческими интересами, поскольку в нем исследуются заявленные мотивы хакера для перехода от законной ИТ-работы к незаконной киберактивности, его понимание текущего ландшафта угроз и его мысли о других основных группах программ-вымогателей. Ниже приведены некоторые из наиболее интересных заявлений, сделанных этим оператором LockBit, которые, если они верны, дают ценную информацию о текущей ситуации с программами-вымогателями.
- Похоже, что у хакера противоречивый этический кодекс, который выражает сильное пренебрежение к тем, кто нападает на медицинские учреждения, и демонстрирует противоречивые данные о том, нацелен ли он на них сам. Вероятно, это характерно для многих злоумышленников, занимающихся незаконной кибер-деятельностью.
- Больницы считаются легкой мишенью, поскольку во время атак программ-вымогателей выплачивают выкуп в 80–90% случаев.
- Ранее Maze хранил до 35 процентов выкупа, полученного его филиалами, что является чрезвычайно высокой суммой по сравнению с другими группами вымогателей, которые, вероятно, удерживали некоторых хакеров от работы с ними.
- Закон ЕС об Общем Регламенте Защиты Данных (GDPR) играет на руку противникам: жертвы в Европе с большей вероятностью будут платить выкуп, чтобы избежать юридических последствий, если это станет достоянием общественности.
- У США также есть прибыльные цели, но с законами о конфиденциальности данных, требующими от компаний-жертв сообщать обо всех нарушениях - стимулы для таких организаций платить выкуп, вероятно, несколько уменьшаются.
ПЕРВИЧНЫЙ КОНТАКТ И ПРАВДОПОДОБНОСТЬ ХАКЕРА
У этого оператора есть несколько имен пользователей и несколько аккаунтов на различных платформах социальных сетей. Как объясняется ниже, он впервые связался с нами в Твиттере, используя свою учетную запись uhodiransomwar (транслитерированная с русского как "уходи, программа-вымогатель"). Первое упоминание об этом хакере в отчетах с открытым исходным кодом было в июне 2020 года, когда он опубликовал доступ к SSH-ключам крупного провайдера VPN. В том же месяце исследователи безопасности из KELA упомянули, что uhodiransomwar активен с 2009 года и связан с программой-вымогателем LockBit.
Наш контакт с хакером, которого мы будем называть в этом отчете вымышленным именем "Алекс", начался в начале сентября, когда он использовал свой аккаунт uhodiransomwar, чтобы написать в Твиттере, что он скомпрометировал финансовое учреждение в Латинской Америке. Вскоре после этого хакер написал в Твиттере организацию жертвы, на этот раз пометив несколько контактов по кибербезопасности, что, вероятно, заставит жертву отреагировать, привлекая внимание общественности к атаке. Одна из помеченных учетных записей принадлежала Bleeping Computer, новостному сайту в области технологий, который ранее общался с другими операторами программ-вымогателей, и одному из авторов этой статьи, который занимается киберпреступностью в Восточной Европе и Азии. Мы полагаем, что Azim пометили, потому что он изначально следил за аккаунтом uhodiransomwar в исследовательских целях.

Мы использовали этот первоначальный косвенный контакт как вторжение, чтобы установить связь с uhodiransomwar. Мы напрямую отправили Алексу вопросы, касающиеся условий, которые он поставил перед жертвой. Во время наших первоначальных бесед мы поделились тем, что, по нашему мнению, является личностью и местонахождением Алекса, основываясь на нашем собственном исследовании, которое он подтвердил. Злоумышленник был знаком с работой Талоса на основании информации, доступной в его аккаунте в Twitter. Примечательно, что это не помешало Алексу сотрудничать с нами. Скорее, это вызвало большое любопытство по поводу "белой" стороны бизнеса, как он ее называл. Наши первые чаты, которые были сосредоточены в основном на жертве, происходили через платформу прямого обмена сообщениями Twitter. Именно в это время Алекс предложил провести интервью которое он назвал "моими интересами и исследовательскими целями". Талос принял предложение, проведя интервью с субъектом в течение нескольких дней в конце сентября - начале октября 2020 года.
Перед началом интервью Алекс сформулировал некоторые предварительные условия и руководящие принципы. Во-первых, он попросил, чтобы мы называли его конкретно "оператором LockBit".
Кроме того, хотя он согласился позволить нам опубликовать наше резюме и анализ интервью, он попросил нас не делиться доказательствами, которые он предоставил в качестве доказательства его доступа к операциям LockBit. Одним из доказательств стал скриншот разговора между ним и жертвой. Алекс также поделился информацией о том, что организация-жертва была взломана за два дня до того, как вторжение было обнародовано, подчеркнув свои внутренние знания об активности угроз LockBit. Наконец, Алекс представил некоторые доказательства жертв, которые вовремя заплатили выкуп, но он не хотел, чтобы их имена раскрывались, поскольку они "выполнили" свою часть сделки. Как всегда, Talos предоставил всю необходимую информацию нашим партнерам из правоохранительных органов по завершении нашего исследования.
Мы обнаружили, что Алекс заслуживает доверия во время наших разговоров. Как указано выше и в других частях этого отчета, он предоставил достаточно доказательств своего положения в сообществе LockBit, включая предварительные знания об операциях LockBit и изменениях в программе-вымогателе, которые мы смогли подтвердить. Его, казалось бы, сильные моральные убеждения - включая защиту личности жертв, если они заплатят выкуп, его акцент на важности установления доверия с жертвой и существование определенных этических принципов, касающихся нападений, - также положительно повлияли на нашу оценку его авторитета. Алекс также, похоже, охотно делился личной информацией о себе, в том числе о своих ближайших родственниках, подчеркивая свою открытость и степень уязвимости. Наконец, мы в целом обнаружили, что он реагирует на наши просьбы о поддержании постоянного диалога, и он был готов отвечать на наши вопросы, казалось, с полной прозрачностью.
ПРОФЕССИОНАЛЬНЫЙ КВАЛИФИКАЦИЯ И МОТИВАЦИЯ ХАКЕРА
Узнав о профессиональном опыте Алекса, его личных интересах и убеждениях, мы пришли к пониманию того, что побудило его к участию в киберпреступной деятельности, как он выбирает свои цели, его мысли об угрозах программ-вымогателей и многое другое. Однако мы должны отметить, что взгляды Алекса принадлежат только ему и не обязательно отражают точку зрения более широкой группы LockBit. Кроме того, мы не можем подтвердить многие из его утверждений о простоте прицеливания на определенные географические регионы и объекты.
Жизнь Алекса занята его подпольной преступной деятельностью, но он также утверждает, что имеет законные интересы и увлечения, включая всемирную историю, кулинарное искусство и музыку. Эти разговоры свидетельствуют о том, что этот злоумышленник и другие подобные ему ведут, казалось бы, нормальную жизнь, наполненную семейными ценностями, работой и досугом.
Мы уверены, что злоумышленником является мужчина, проживающий в Сибирском регионе России и, вероятно, являющийся активным оператором программ-вымогателей в течение как минимум нескольких лет. По нашим оценкам, ему за тридцать, и мы считаем, что у него как минимум университетское образование. Алекс утверждает, что он самостоятельно овладел навыками, связанными с киберпространством, такими как тестирование на проникновение, сетевая безопасность и сбор разведданных, как с открытым кодом, так и в киберпреступном подполье. Он учился и стажировался в области информационных технологий с 2000-х годов, когда широкое распространение Интернета вызвало у него первоначальный интерес к тогдашней новой технологии. Это включало сетевые протоколы и всю линейку протоколов коммутируемого доступа (до v42.bis), что позволяло использовать старые телефонные линии коммутируемого доступа и модем Motorola.
Получив хорошее представление о сетях, Алекс начал сосредотачиваться на языках разметки и сценариев, таких как HTML, CSS и JavaScript, а также на небольших веб-фреймворках, таких как CodeIgniter. Впоследствии он начал писать плагины для этих фреймворков, одновременно изучая организацию баз данных. Он потратил достаточно времени на изучение конкретных проблем в сетях, а также стоящих за ними технологий. Со временем глубокое понимание Алекса ИТ-технологий помогло ему найти работу в ИТ-компании, когда он закончил колледж. После окончания учебы продолжил работу в сфере информационных технологий.
Несмотря на образование и способности Алекса, он выражал общее чувство разочарования, а иногда даже негодование, из-за того, что его не оценили должным образом в российской кибериндустрии. Его разочарование было очевидно во время наших разговоров, когда он пренебрежительно отзывался о нескольких известных российских компаниях, занимающихся кибербезопасностью. Он также отметил, что "на Западе я бы, вероятно, работал в "белой" охранной службе и легко зарабатывал ..., предполагая, что его предполагаемая недооценка и низкая заработная плата подтолкнули его к неэтичному и преступному поведению.
Алекс поделился несколькими примерами случаев, когда он чувствовал себя недооцененным коллегами в области ИТ и кибербезопасности. В процессе работы он периодически сталкивался с различными ошибками безопасности при настройке сайтов. Ему, естественно, было интересно узнать о таких незащищенных сайтах, которые показывают ошибки или не работают должным образом. В таких случаях он попытался разобраться в проблеме, а затем уведомил администраторов сайта, чтобы они помогли решить проблему. Однако его часто встречали с полным игнорированием как самой проблемы, так и его усилий по ее решению. Алекс продолжал испытывать аналогичные сценарии с другими веб-сайтами, в том числе с известной российской социальной сетью.
Из наших разговоров было ясно, что Алекс разочарован тем, что не может предупредить об уязвимостях, и часто чувствовал, что его благие намерения игнорируются. Это стало для него серьезным мотиватором к продолжению неэтичной и/или криминальной работы. Рассказывая об одном таком случае, он сказал нам: "Я обнаружил слепую SQL-инъекцию на российском веб-сайте. Я сообщил, но никто не отреагировал, поэтому я бросил его. Я понял, что наш Большой Брат не заботится о кибербезопасности". Он предположил, что подобное взаимодействие побудило исследователей найти другие способы использовать свои навыки для получения финансовой выгоды, предполагая, что многие обращаются к незаконной деятельности.
Алекс также поделился своим пессимистическим взглядом на программы bug bounty, в которых поставщики платят независимым исследователям за обнаружение ошибок и уязвимостей в их продуктах. По его словам, в последнее время наблюдается сильная тенденция "обманывать" людей, сообщающих о таких недостатках безопасности. Он сказал, что компании прилагают усилия для поиска лазеек, которые позволили бы им отказаться от оплаты исследователю на основе технических деталей полноты их отчета. Однако это полностью расходится с нашими профессиональными наблюдениями сообщества безопасности. Может быть и так, что Алекс решил рассматривать программы уязвимостей через эту призму, чтобы учесть собственное решение не участвовать в них или потому, что он слышал неточные истории от других участников угроз.
ОПЕРАЦИИ ВЫМОГАТЕЛЕЙ И TTPS
После того, как Алекс принял решение перейти к незаконной киберактивности, он попробовал себя в нескольких различных типах атак, включая попытки взлома веб-сайтов и распределенные атаки типа "отказ в обслуживании» (DdoS). Он сказал, что в конечном итоге остановился на программах-вымогателях из-за их прибыльности и потому, что они давали ему возможность "научить" компании последствиям ненадлежащей защиты их данных.
Личное прошлое Алекса и желание получить компенсацию за свои навыки влияют не только на его мотивацию к участию в незаконной деятельности, как описано выше, но и на его руководящие принципы проведения таких операций. Он подтвердил наличие морального кодекса и личных убеждений, включая сильное чувство патриотизма, которые влияют на его выбор цели. Однако, несмотря на его заявления, мы обнаружили несколько случаев, когда он делал противоречивые заявления о своей этике и реальном поведении. Например, он сказал нам, что "для киберпреступника лучшая страна - это Россия", а позже объяснил, что он не будет нацеливаться на граждан бывшего Советского Союза или "друзей России", таких как организации в Китайской Народной Республике, близкий союзник России. Алекс также предположил, что организации в постсоветских странах не так прибыльны с операционной точки зрения и поэтому не стоят его времени. Мы считаем, что личная безопасность Алекса, вероятно, является еще одним фактором в его выборе целей, поскольку нападение на российские объекты, вероятно, подвергнет его дополнительному риску возмездия. Далее он отметил, что компании в Соединенных Штатах и Европейском союзе "будут платить быстрее и больше", предполагая, что именно на эти регионы он фокусирует свои усилия.

Кроме того, Алекс утверждает, что он избегает нападок на организации, связанные со здравоохранением, профсоюзами и образованием. Он раскритиковал других операторов программ-вымогателей, которые не разделяют подобных этических взглядов, заявив, что "то, что вы преступник, не означает, что вы должны перестать быть человеком". В более позднем разговоре он пошел еще дальше, добавив, что "если вы нападаете на больницы во время COVID-19, вы [ругательство]. Талос отмечает, что, хотя Алекс заявляет, что не нападает на медицинские учреждения, у нас есть основания полагать, что это не так. Во время наших бесед он поделился с нами информацией, которая, предположительно, будет известна только тем, кто участвует в таких операциях, например, что "больницы платят от 80 до 90 процентов, потому что у них просто нет выбора". Более того, его страстное отрицание причастности к такой деятельности несколько подозрительно и предполагает, что он, возможно, слишком старается скрыть потенциальную ложь.
Что касается организаций, на которые Алекс нацелен, он, как правило, сосредотачивается на ИТ-компаниях, которые, по его мнению, должны обеспечивать лучшую сетевую безопасность. В наших беседах он ясно дал понять, что хочет "научить их" применять более эффективные меры безопасности. У него также есть географические предпочтения, и он отмечает, что на Ближнем Востоке есть много "легких" целей со "слабой кибербезопасностью". Он добавил, что ЕС - самая прибыльная область, поскольку европейцы очень озабочены конфиденциальностью данных. Алекс отметил, что Закон об Общем Регламенте Защиты Данных (GDPR) играет ему на руку, поскольку организации-жертвы с большей вероятностью будут платить выкуп, опасаясь юридических последствий, если компрометация станет достоянием общественности. Соединенные Штаты также являются прибыльными, но, по словам Алекса, их законы в отношении утечки данных негативно влияют на степень влияния злоумышленника во время операции вымогателя. В таких ситуациях, пояснил он, у хакера меньше рычагов влияния, поскольку законы США требуют, чтобы компании-жертвы в любом случае публично раскрывали нарушения. (Однако мы отмечаем, что стимул к уплате выкупа может все еще существовать независимо от каких-либо правовых или нормативных требований, если жертва считает, что это поможет избежать утечки данных.) Учитывая эти различия, он предпочитает ориентироваться на ЕС, отмечая: "Я не люблю работать в США, потому что там труднее получать деньги, ЕС платит лучше и больше".
Он добавил, что если у организации-жертвы есть киберстрахование, выплата выкупа "почти гарантирована". Это заявление согласуется с текущими данными, показывающими, что на атаки программ-вымогателей приходилось более 40 процентов выплат по страхованию в Северной Америке в первой половине 2020 года.
Алекс также раскрыл больше технических компонентов своих операций с программами-вымогателями, включая многие из его тактик и инструментов. Он использует стандартные инструменты и вредоносные программы, которые многие другие злоумышленники включают в свои атаки, такие как Masscan, Shodan, Cobalt Strike, Mimikatz и PowerShell и другие. Он также использует инструменты сбора информации, такие как ZoomInfo, для исследования возможных целей. Алекс предположил, что даркнет предоставляет много информации о потенциальных целях и деталях их бизнеса. Он утверждал, что операторы программ-вымогателей могут оценить ценность своей цели, либо найдя украденную информацию о компании в даркнете в результате предыдущего взлома, либо у инсайдеров целевой организации, которые продают эту информацию непосредственно на этих подпольных платформах.
Алекс также упомянул, что он получает операционное преимущество от белого исследования, которое выявляет новые уязвимости и частую задержку внедрения пользователями новых средств защиты. Он пользуется преимуществом временного промежутка между выпуском уязвимости и последующим исправлением, заявляя: ЭМы используем белые исследования против них. Как только CVE публикуется, мы используем его в своих интересах, потому что людям требуется много времени для исправления". По сути, Алекс утверждает, что его операции успешны, потому что он более маневренный, чем сетевые администраторы, поскольку он всегда в курсе новостей безопасности, которые он использует в будущих атаках. Хотя ему не хватает ресурсов, которые позволили бы ему проводить более сложные и скрытные операции, он по-прежнему сохраняет преимущество перед защитниками благодаря своей способности действовать быстро на основе общедоступной информации.
Алекс подчеркнул, что одним из наиболее важных аспектов его операции является доверие, которое он устанавливает со своими жертвами. Он показал, что без "обещания" он не сможет продолжить свои операции. Это вступает в игру, когда платит жертва программы-вымогателя. Алекс обещает, что он удалит украденную информацию жертвы и никогда не опубликует ее повторно.
Мы также много говорили с Алексом о том, как, по его мнению, LockBit и другие группы проводят свои атаки и управляют ими. В этой части интервью он поделился своим видением проведения атаки, которую многие исследователи уже наблюдают в дикой природе. Чтобы получить доступ к сети жертвы, операторы программ-вымогателей сначала пытаются получить информацию о доменном пространстве жертвы, включая сведения об автономной системе, блоках IP-адресов или внешних шлюзах доступа, принадлежащих организации жертвы. После этого злоумышленники используют виртуальные частные серверы с надежными хостинг-провайдерами и центрами обработки данных, которые обычно находятся в России (поскольку эти провайдеры обычно не отвечают на уведомления о абузах), для сканирования внешнего доменного пространства и IP-блокировки сети жертвы. Алекс упомянул, что операторы используют сканеры, такие как Masscan, Nmap и другие надстройки, такие как RustScan, которые повышают скорость сканирования.
После идентификации и подтверждения различных доступных служб, таких как RDP, обычным следующим шагом атаки является использование уже скомпрометированных учетных записей для входа в организацию-жертву. Обычно это делается путем поиска данных жертвы в даркнете и их покупки, чтобы попытаться войти в систему как пользователь организации. В случае успеха оператор повышает привилегии, используя известную уязвимость. По словам Алекса, любая полезная информация о системе-жертве собирается и используется с помощью инструментов с открытым исходным кодом, таких как winPEAS и linPEAS. Они в основном используются для отключения функций безопасности, включая повреждение или отключение антивирусного драйвера, а также отключение или обход антивирусных решений. Эти вредоносные действия инициируются серией команд C2.
После того, как в сети жертвы устанавливается постоянство, выполняются различные последующие атаки. Например, злоумышленники иногда атакуют LLMNR и NBT-NS, чтобы получить хешированный пароль администратора, который затем передается в облако. Операторы будут использовать частные облачные сервисы, обнаруженные в даркнете, для взлома пароля. Иногда во время этого процесса также используются такие инструменты, как Google Colab и Colabcat. В то же время обфусцированный стэйджер (с использованием Artifact Kit или Shelter Pro) помещается в оперативную память машины-жертвы, что позволяет участникам избежать сохранения какой-либо информации в файловой системе. После этого инструменты тестирования на проникновение, такие как Cobalt Strike, используются для подключения к C3 Custom Command and Control.
Чтобы связать стейджер с инфраструктурой C2 злоумышленника, используются различные параметры обфускации с помощью Malleable C2 (в случае Cobalt Strike), такие как обфускация поля пользовательского агента. Затем злоумышленники пытаются собрать как можно больше информации о сети с помощью автоматизированных фреймворков, таких как BloodHound. После этого программа-вымогатель запускается, и операторы ждут, пока жертвы свяжутся с ними.
Мы также обсудили общую структуру группы LockBit, которую Алекс описал как бизнес-ориентированный процесс, в котором коммуникация осуществляется быстро, а конечной целью является стремление к достижению конечной цели. Например, Алекс утверждает, что он может напрямую общаться с командой разработчиков LockBit и что он может публиковать информацию о жертвах непосредственно в блоге LockBit. По его словам, он обладает конфиденциальной информацией о потенциальных новых функциях, которые могут быть добавлены в будущие версии LockBit, и имеет возможность предоставлять технические отзывы. Во время одного из наших разговоров в начале сентября Алекс заявил, что LockBit скоро обновит свою программу-вымогатель. В следующем месяце исследователи безопасности из Sophos опубликовали новые результаты, свидетельствующие о том, что LockBit начал использовать новые методы, чтобы оставаться незамеченными, что подтвердило утверждение нашего субъекта и укрепило его авторитет.
Алекс также подробно рассказал о других группах, добавив, что он рассматривал возможность сотрудничества с другими организациями-вымогателями, но решил не участвовать с ними по нескольким причинам. Он уточнил, что группа Maze берет очень большую сумму выплачиваемого выкупа - до 35 процентов - в результате чего операторы получают менее желаемую прибыль по сравнению с другими группами вымогателей. Алекс объяснил, что, хотя LockBit "не требует столько, как Maze" от своих жертв, у них также лучший коэффициент распределения прибыли. Отдельно он также упомянул, что "REvil может сделать ваши файлы нестабильными, а Netwalker слишком сильно замедлит работу системы". REvil (также известная как Sodinokibi) - это высокодоходная группа программ-вымогателей, которая зарабатывает деньги на взломе прибыльных целей и продаже своих программ-вымогателей в качестве услуги другим киберпреступникам. Хотя Алекс обычно работает в одиночку, он общается с другими группами вымогателей через подпольные форумы. По его словам, эти отношения носят деловой характер, при этом участники обмениваются информацией о тактике, разработке вредоносных программ и соглашениях, ориентированных на финансовые вопросы.
ЗАКЛЮЧЕНИЕ
На момент написания этой статьи в начале декабря мы все еще поддерживаем прямой контакт с Алексом через Jabber и продолжаем собирать как можно больше информации. В середине октября Twitter заблокировал его учетную запись uhodiransomwar за нарушение правил Twitter, запрещающих публикацию украденных личных данных людей.
Наши интервью с Алексом дали нам уникальное представление о человеческой стороне злоумышленника и позволили нам сделать несколько ценных выводов для рассмотрения руководителями и лидерами в области кибербезопасности. В результате этого взаимодействия с Алексом мы смогли подтвердить многие распространенные предположения о таких субъектах угроз, включая их предысторию и мотивацию. Наши беседы также выявили обычный характер кибератак, которые в данном случае по-прежнему в значительной степени зависят от незащищенных систем и простых инструментов.
Одним из наших самых интересных выводов был процесс принятия решений Алеком, который привел его к участию в крупных киберпреступлениях, или, по крайней мере, процесс принятия решений, которому он хочет, чтобы мы верили, что он следовал. Преступники нередко считают свои собственные действия оправданными постфактум, даже если в преступлении не было реальной моральной двусмысленности. В этом случае отсутствие работы, которая бы удовлетворяла его, представляется вводным курсом к киберпреступности. Его чувства недооценки, негодования и экономического стимула являются обычными мотивами незаконной киберпреступности, и его история, представленная нам, иллюстрирует, как человека можно подтолкнуть к киберпреступности.
Кажется, есть скрытое противоречие в изображении Алексом своей личной истории, в которой он представляет себя руководимым определенными моральными кодексами, в то время как его действия кажутся более оппортунистическими, финансово мотивированными и корыстными. В этом нет ничего необычного, поскольку преступники часто рационализируют свои действия, чтобы оправдать свои преступления. Осуждение Алексом других преступников является хорошим примером этого, поскольку он, кажется, высмеивает их, чтобы отличить себя от их плохого поведения.
Основываясь на наших разговорах с Алексом о LockBit, мы полагаем, что в ближайшем будущем вымогатели и их операции будут расширяться, поскольку не существует серьезных препятствий для выхода на рынок при наличии определенных технических навыков. Учитывая, что, по всей видимости, происходит целенаправленное развитие и подтвержденный успех деятельности LockBit, группа наверняка попытается извлечь выгоду из недавнего предполагаемого ухода Maze на пенсию. Кроме того, всплеск удаленной работы и дистанционного обучения из-за COVID-19 увеличил число потенциально уязвимых жертв, что сделало условия для LockBit и других операторов программ-вымогателей еще более благоприятными для продолжения расширения своей деятельности.
Источник: https://talos-intelligence-site.s3.a..._Interview.pdf
Автор перевода: yashechka (*******)

[Jekaprof]

Очень интересно