После серии разрушительных кибератак на хакерских форумах запретили публикации о программах-вымогателях. Об этом сообщает The dailybeast.

После российских кибератак на поставщика топлива Colonial Pipeline и поставщика мяса JBS к концу мая на несколько хакерских форумах объявили о запрете хакеров-вымогателей и их рекламу. Некоторые администраторы форумов объяснили свой запрет тем, что атаки программ-вымогателей привлекли слишком много внимания.

Но киберпреступники проявили изобретательность перед лицом этих запретов. Как говорят эксперты по кибербезопасности, они делают все, чтобы избежать подозрений, но по-прежнему планируют свои нападения.

Например, один из пользователей на форуме киберпреступников XSS объявил, что у них есть «команда опытных пентестеров» (программисты и инженеры, осуществляющие этический взлом предприятий для проверки защиты) которые хотят купить доступ к уязвимым корпоративным сетям.  По словам аналитика Flashpoint Влад Куюджуклу, такое поведение типично для заговора с программами-вымогателями, когда злоумышленники проникают в сети жертв, затем блокируют их машины, крадут файлы и требуют выкуп, чтобы их разблокировать, а не публиковать украденные данные в Интернете.

По словам Flashpoint, другие пользователи, которые хотят запускать операции с программами-вымогателями, «лайкают» чужие сообщения, чтобы побудить хакеров выйти на связь по частным каналам, чтобы избежать загрузок с форумов при планировании атак.

Подобно тому, как группы противников вакцинации в социальных сетях начали использовать кодовые слова, такие как «танцевальные вечеринки», чтобы избежать запретов в Facebook, хакеры-вымогатели прибегли к аналогичному приему.

Таким образом, хоть деятельность, связанная с программами-вымогателями запрещена на большинстве авторитетных форумах, это не мешает злоумышленникам обходить запрет, тщательно модерируя свои рекламные объявления и, технически не нарушая правил.

По словам Куюджуклу, еще одна трудность заключается в том, что форумы киберпреступников и их администраторы не особо бдительны в этом вопросе.

«Форумы пытаются взглянуть на это с точки зрения ответственности, — сказал Куюджуклу The Daily Beast. — Никто не хочет ассоциироваться с кибертерроризмом. Поэтому, если кто-то пытается указать на десятки случаев, когда люди хотят «купить доступ», ищут «конкретные доходы компаний», администраторы форумов просто скажут: «Ну и что? Ничего из этого не говорит о программе-вымогателе».

Но, с другой стороны, если форумы действительно ограничат злоумышленников, их преступную деятельности станет чрезвычайно трудно отслеживать, поскольку вероятнее всего они перейдут в частные каналы. Такие опасения озвучивают специалисты по кибербезопасности.

Когда на форумах было объявлено о запрете рекламы и сообщений о программах-вымогателях, многие эксперты по кибербезопасности восприняли эту новость с большой долей скептицизма. Даже один из форумов, который утверждал, что запрещает банды вымогателей, RaidForums, позже объявил, что весь «запрет» был всего лишь шуткой. Что известно благодаря исследованиям Digital Shadows .

Хакеры-мошенники

«Мы также наблюдаем рост количества случаев вымогательства, которые оказываются просто игрой — они фильтруют, а затем удаляют данные», — сказал он.

Некоторые хакеры заявляют, что проводят атаки программами-вымогателей, чтобы требовать деньги, но потом признаются в частных каналах, что на самом деле этого не делали, и у них даже нет таких возможностей.

«Мы поговорили с участниками программ-вымогателей, которые, по сути, признались нам в личных сообщениях, что они будут утверждать, что украли данные, даже если у них нет возможностей для их кражи», — сказал Flashpoint The Daily Beast.

В частности, русскоязычная группа взломщиков программ-вымогателей LockBit недавно разместила названия компаний, которые, по ее утверждениям, являются жертвами, на своем собственном сайте — как способ их пристыдить и заставить заплатить — но затем удалила его без объяснения причин. Неясно, удаляет ли банда списки уже после получения оплаты, но в любом случае, некоторые из перечисленных компаний, точно не подвергались взлому. А это указывать на то, что такая публикация — это всего лишь уловка, чтобы вызвать обеспокоенность компаний. чтобы заплатить под ложным предлогом. Так считают специалисты Flashpoint.

Во многих других случаях истинная природа атаки банды вымогателей может оставаться загадкой, отмечает старший вице-президент по разведке Flashpoint Хофманн. Заметки некоторых злоумышленников выглядят настолько расплывчатыми, что иногда трудно понять, действительно ли банды вымогателей сделали то, о чем заявили, или просто заимствовали фразы у других банд.