Разбирането на видимия ландшафт е по-точно, когато разбираме основната морфология, която го оформя.
Докладът на WithSecure Ransomware Landscape за първото полугодие на 2024 г. (PDF) предоставя информация, подобна на много други скорошни доклади за рансъмуер. Това не е изненадващо, тъй като повечето изследователи използват едни и същи източници за своите данни – и най-вече анализ на сайтове за изтичане на информация, за да разберат естеството и обема на атаките с рансъмуер, които се намират извън публичната отчетност. Обърнете внимание, че сайтовете за изтичане на информация и публичните доклади все още пропускат един основен фактор в статистиката за рансъмуер: броят на успешните атаки, при които откупът е платен (няма включване в сайт за изтичане на информация) и няма публично оповестяване (жертвата защитава репутацията на своята бизнес марка).
Така че от сайтовете за изтичане на информация знаем, че има ръст в броя на атаките с рансъмуер срещу малки и средни предприятия. Знаем, че отрасълът се свива, докато няма реално свиване на атаките – което предполага, че нападателите се обединяват около по-малък брой успешни зловредни програми. Знаем, че най-атакуваните сектори са инженерството и производството, недвижимите имоти и строителството, здравните услуги и финансите. Всичко това вероятно е статистически точно, въпреки че не знаем какво не знаем.
Сами по себе си тези голи „факти“ не ни помагат да разберем сегашния пейзаж на ransomware – но докладът на WithSecure предоставя няколко други точки за обсъждане, които са осветляващи. Например, киберпространството е ново и непрекъснато се развива. Тя изисква нова терминология, която също трябва да се развива, за да отразява точно този променящ се пейзаж.
Неотдавнашен пример за променящата се лексикография на ransomware се изисква от нарастването на ransomware-as-a-service (RaaS). Преди описвахме зловредния софтуер като „семейство“, а оператора на зловредния софтуер – като „група“, като понякога обединявахме двете понятия под едно име.
Това вече не работи с наплива от филиали, работещи в рамките на RaaS. Добър пример е LockBit. Дали терминът „LockBit“ се отнася за групата основатели, за конкретен зловреден софтуер или за неизвестен филиал? WithSecure се застъпва за нов термин: „марка“. LockBit е името на марка и използването на този термин ни дава по-добро разбиране за това как работи екосистемата RaaS.
Това е полезно понятие, защото може да се прилага към всяка различна RaaS операция. То също така отразява и ни помага да разберем нарастващия професионализъм в света на лошите. Вече имаме злонамерени марки, както и легитимни бизнес марки. И за двата свята важат едни и същи правила: всички бизнеси трябва да защитават репутацията на своята марка, за да поддържат нейната рентабилност. Защитата на търговската марка и неуспехът на защитата на търговската марка са движещи сили в света на RaaS, които както привличат нови, така и отблъскват съществуващите филиали. И в двата свята има номади, които често сменят бизнеса си, а понякога работят за двама или повече различни „работодатели“ едновременно.
В доклада на WithSecure се обсъждат две важни и поучителни събития през първото полугодие на 2024 г. (свалянето на LockBit и „свалянето“ на AlphV и измамата за напускане). И двете илюстрират значението на търговските марки и тяхната защита. Те също така илюстрират значението на действията на правоприлагащите органи срещу брандове, предлагащи софтуер за изнудване. Такива действия никога не елиминират ransomware и рядко премахват участниците (освен ако те не могат да бъдат арестувани). Но те нанасят щети на марката. Една по-слаба марка ще привлече по-малко филиали, ще отслаби цялостната екосфера на ransomware, докато съществуващите филиали избират и преминават към друга марка, и вероятно ще разубеди някои желаещи престъпници да мислят, че RaaS е безрисково занимание за лесни пари. Непрекъснатите действия на правоприлагащите органи са важни и ценни. „Почти сигурно е, че действията на правоприлагащите органи са оказали значително въздействие върху екосистемата на ransomware“, се казва в доклада.
През февруари 2024 г. правоприлагащите органи проникват в LockBit и изземват сайта му за изтичане на информация. „LEA също така получи достъп до комуникационния/контролния панел на филиалите и успя да остави съобщения, заплашващи филиалите на LockBit“, се добавя в доклада. Много от тези филиали напускат кораба и се прехвърлят към друга марка. Но както при всеки бизнес, който страда от загуба на репутацията на марката, има две възможности: възстановяване на марката или закриване на бизнеса.
„LockBit е почти сигурно [sic] във фаза на възстановяване, като възнамерява да се завърне в индустрията с по-стабилна операция“, се казва в доклада.
Тим Уест, директор на WithSecure за разузнаване на заплахите и работа с потребителите, заяви: „LockBit се опитва да се възстанови. Не знаем дали ще успее, но има признаци, че е в сериозна фаза на преустройство, като се създава и тества нова инфраструктура. Например някои от сайтовете ѝ за изтичане на информация се пускат в действие, свалят се и отново се пускат в действие с малко по-различни базови технологии. Някои човешки ориентирани анализатори са забелязали промяна в поведението на персонала, който публикува информация, която бихме могли да разглеждаме като прессъобщения на LockBit.“
LockBit избира първия вариант: възстановяване. AlphV избира другия вариант: бързо да получи пари и да напусне. Марката твърди, че напускането ѝ е в отговор на изземването на LEA. Вероятно не е било така, въпреки че преди това е била свалена през 2023 г. Операторите просто искаха да напуснат и използваха предполагаеми действия на LEA, за да объркат основната „измама с напускане“. В своите „условия“ с афилиатите марката е получавала придобитите откупи и е плащала комисиона на афилиата. В този случай марката е получила почти сигурно плащане от 22 млн. долара от Change Healthcare, задържала е цялата сума, без да плати на афилиата, и е изчезнала.
Заслужава да се отбележи, че това би довело до почти пълна, но самоналожена загуба на репутацията на марката AlphV.
Приблизително по същото време се активира нова марка: RansomHub, която се разраства бързо. Тъй като AlphV има история на ребрандиране, по онова време имаше предположение, че това е нов ребранд на AlphV. Това е възможно, но WithSecure смята, че е малко вероятно. Приликите в кода на AlphV и RansomHub са недостатъчни, за да се твърди, че те идват от един и същ източник. Но възходът на RansomHub едновременно с изчезването на AlphV предполага доста широко разпространена миграция на филиали от втория към първия.
„Афилиатите, които са работили за AlphV или са използвали марката AlphV, сега използват марката RansomHub“, казва Уест.
Тази хипотеза се подсилва от появата на данни за Change Healthcare на сайта на RansomHub (филиалът на AlphV е запазил данните, ако не и откупа, и сега се е присъединил към RansomHub), а условията на RansomHub са предназначени да привлекат бивши филиали на AlphV: вие задържате парите и плащате на нас, а не ние задържаме парите и плащаме на вас; т.е. можете да ни се доверите.
И така, какво можем да научим от взаимодействието на марките RaaS и доверието в екосферата на рансъмуера? Първо, може да се окаже, че има плавно движение между марките от страна на партньорите – лоялността изглежда по-скоро основана на инерция, отколкото на истинска лоялност. Афилиатите на LockBit напуснаха пред лицето на заплахите от LEA и увреждането на марката – те не са изчакали LockBit да възстанови репутацията на марката си. Афилиатите на AlphV бяха принудени да напуснат поради нелоялността на марката. Набирането и маркетингът на марката изглежда работят, като RansomHub привлича нови афилиати чрез атрактивни условия.
Тази история на LockBit, AlphV и RansomHub дава ясна картина на заплахата от RaaS, като афилиатите, независимо дали са отделни лица или малки групи, преминават от една марка към друга, когато е необходимо. Това обаче е подвеждащо. Нещата никога не са толкова прости.
„Много е вероятно много групи за рансъмуер да останат лоялни към определена марка, която познават и на която се доверяват„, обяснява Уест, „а някои марки рансъмуер ще управляват “основен“ набор от участници. BianLian е добър пример за това, тъй като изглежда, че те не променят своите TTP или инструментариум – само в редки случаи наблюдаваме дейност, която се отклонява от това, което смятаме, че е основен клъстер от участници.“
В същото време някои участници работят с няколко марки. „Украинската полиция наскоро арестува криптограф (човек, който опакова или пакетира зловредни двоични файлове, за да избегне откриването им от продуктите за сигурност на крайни точки), за когото се знаеше, че работи както с Conti, така и с LockBit“, продължава той. „А филиалът на ransomware с име DEV-0504 / Velvet Tempest е бил проследен при прониквания в BlackMatter, Ryuk, AlphV и Lockbit. Наскоро DEV-0504 беше наблюдаван при прониквания с RansomHub.“
По същия начин филиали, работещи с определена марка, могат да се отделят и да създадат своя собствена марка – процес, опростен от няколко изтичания на изходния код на рансъмуер. „Съществуват и примери за ребрандиране от един към много, при които марки като 8base и Faust са производни на един вариант.“
Накратко, макар че статистическите данни за ефекта от ransomware са сравнително постоянни между различните изследователи (защото източникът на тези статистически данни е общ за изследователите), тълкуването на основните причини (морфологията на пейзажа) може да се различава между различните изследователи. WithSecure и нейният доклад Ransomware Landscape H1/2024 показват, че криминалният ъндърграунд не се различава съществено от легитимния бизнес свят: служителите идват и си отиват, биват преследвани и понякога пренасят бизнес познания от една работа на друга; понякога работят между няколко марки; и остават там, където има взаимно доверие и добро отношение, и напускат, когато марката, доверието и отношението се влошат.
Автор: Кевин Таунсенд, журналист, специализирал в информационната сигурност, публикувал хиляди статии както в специализирани списания, така и в the Times и the Financial Times.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.