Кибербанды действуют уже много лет, но в последние месяцы они изменили тактику: осваивают новые технологии, используют новые возможности, осуществляют полезные нагрузки и ищут новые цели. Их цель — максимизировать сумму денег, которую они могут получить с помощью киберпреступлений.

Банды, такие как Cosmic Lynx, Exaggerated Lion, Fin7 и Florentine Banker, стали серьезной угрозой. Киберпреступные банды становятся умнее, все чаще осуществляя свою деятельность в странах вне правовой досягаемости их целей. Это позволяет им участвовать в долгосрочных атаках и продолжать эти атаки даже после обнаружения. Объединение банд происходит более активно, чем раньше. При этом они комбинируют методы — например, атака программами-вымогателями и само вымогательство.

Они также быстрее используют новые возможности. Например, киберпреступные банды в прошлом году начали использовать в свою пользу рост количества людей, работающих и получающих образование удаленно. Поскольку многие из этих переходов были незапланированными, киберпреступные организации увидели в этом возможность для атаки. Некоторые банды использовали опечатки и перехват URL для имитации популярных приложений для видеоконференцсвязи. Отсюда они могли воспользоваться тем фактом, что миллионы людей, работающих в сфере бизнеса и образования, не знакомы с этими платформами.

Заставая мир врасплох


Все кибератаки стремятся к элементу неожиданности, но современные злоумышленники совершенствуются в имитировании подлинности. Некоторые даже используют легальные сервисы для осуществления мошенничества.

В последние год или два преступные группировки все чаще создают сайты, которые выглядят официально. Они также могут открывать учетные записи в социальных сетях, используемые только для социальной инженерии. Они могут глубоко исследовать своих жертв для выполнения более сложных атак.

Метод «охоты на китов» (англ. whaling) включает в себя изучение жертвы атаки через публикации в социальных сетях. (whaling- это фишинговая атака на крупную цель, например, на генерального директора.) Банда может анализировать посты в соцсетях в течение нескольких месяцев. Затем злоумышленник выдает себя за кого-то, кого знает потенциальная жертва, и предлагает поделиться документом через облачное веб-приложение. При доступе к этому документу открывается удаленная HTML-платформа, предлагающая пользователю войти в это приложение. После того как жертва это сделает, банда получает доступ ко всем их документам, электронной почте, календарям и контактам. Атакуемая цель обычно узнает, что на нее напали, намного позже. А сами преступные действия могут включать атаки программ-вымогателей, кражу данных, вымогательство или кражу денег.

Терпеливый шпионаж нацелился на «китов»

Кибербанда под названием The Florentine Banker украла миллионы у британских частных инвестиционных компаний. Группа начала свою whaling-атаку через манипулятивную рассылку по электронной почте небольшому числу высокопоставленных сотрудников, пока кого-нибудь не удавалось обманом заставить раскрыть свои учетные данные. После того как эти данные были раскрыты, злоумышленники подбирали других сотрудников, имеющих доступ к финансовым данным в компаниях, получая доступ к их электронной почте и наблюдая за ними в течение месяцев. Это делалось для того, чтобы узнать и понять, как обстоят дела, прежде чем совершить кражу.

После этого члены Florentine Banker начинали регистрировать домены, похожие на те, которыми пользовались коллеги их жертв. Затем они начинали красть деньги несколькими способами. Они либо инициировали правдоподобные запросы на банковские переводы, либо же перехватывали реальные запросы, а в них уже заменяли номера счетов, перенаправляя деньги на счета злоумышленников.

За пределами грязных фишинговых писем

Орфография и грамматика могут быть оружием кибербанд. Сейчас существует стереотип, что злоумышленники любят фишинг электронной почты или различные формы нападений на корпоративную почту (BEC — Business Email Compromise). Также стереотипом является то, что эти электронные письма, как известно, содержат все виды орфографических, грамматических, ошибок использования и стиля, в основном потому что цель и преступник говорят на разных языках. Плохой английский был и остается простым способом обнаружить любую мошенническую электронную почту. Но недавние исследования показали, что некоторые банды киберпреступников отправляют мошеннические электронные письма на безупречном английском языке. Некоторые даже считают, что банды нанимают профессиональных копирайтеров, владеющих родным языком.

Еще одна тенденция, способствующая ускорению эволюции кибербанд, — это коммерциализация вредоносных программ, в том числе тех, которые используют в своих атаках машинные идентификаторы SSH. Один SSH-ключ может дать злоумышленникам полный доступ к приложениям и данным организации. Эта техника была разработана и ранее использовалась исключительно злоумышленниками, спонсируемыми государством, но теперь она продается в даркнете.

Другие примеры специализированных инструментов, которые люди выставляют на продажу в даркнете, включают TrickBot, CryptoSink, Linux Worm и Skidmap.

Сложно ответить: спонсируемые государством атаки или атаки кибербанд?

В предыдущие годы было легче отличить атаку, осуществленную бандами киберпреступников, от атаки, спонсируемой государством. Изощренность, масштаб и продолжительность кибератак, проводимых правительствами, часто превосходили все, что могли осуществить банды киберпреступников.

Но ситуация быстро меняется. Группировки становятся все более изощренными. Верно и обратное. Киберпреступные организации разрабатывают настолько сложные инструменты и методы, что их все чаще берут на вооружение злоумышленники, спонсируемые государствами. Поэтому анализ сложности или инструментов, использованных в атаке, уже не позволяет сразу определить, что это была за атака.

Раньше у спонсируемых государством атак было исключительное преимущество — использование давней техники шпионажа, заключающейся в личном подкупе людей внутри целевых организаций. Представьте себе обмен, когда шпион в темном пальто и фетровой шляпе встречается с инсайдером в плохо освещенном парке поздно вечером. Они обмениваются портфелями, один из которых набит наличными. Скоординированные атаки, спонсируемые государством, могут использовать этот вид шпионского искусства старой школы — и у них есть на это деньги.

Использование инсайдеров для кибер-проникновения

Теперь кибербанды делают нечто подобное тому, что делают группировки, спонсируемые государством. В одном из последних инцидентов кибербанда нацелилась на калифорнийскую автомобильную компанию Tesla для совершения довольно обыденной атаки. План состоял в том, чтобы заставить одного из сотрудников внедрить вредоносное ПО во внутренние сети Tesla, которое должно было широко распространиться в компании. Затем мошенники должны были организовать DDoS-атаку на Tesla, чтобы отвлечь внимание от настоящей атаки, которая заключалась в утечке конфиденциальных данных и коммерческих тайн. Затем они планировали вымогать у Tesla выкуп за необнародование данных.

Это довольно банальная атака. Но вот что странно. Банда (якобы) отправила представителя по имени Егор Игоревич Крючков вылететь в Неваду. Его работа заключалась в том, чтобы завербовать сотрудника Tesla, предложив ему 1 миллион долларов за установку вредоносного ПО.

В ближайшие год или два, скорее всего будет становиться все труднее определять, когда атаки спонсируются государством, а когда осуществляются кибербандами.

Как оставаться на шаг впереди кибербанд

Многие из старых методов обнаружения нарушений и событий безопасности могут устареть. Но, проанализировав тренинги, политику, приоритеты и инструменты, организации могут адаптироваться к новым тенденциям в мире киберпреступности.

Проинформируйте сотрудников об опасности размещения в социальных сетях любой информации, которая может быть использована в атаке с применением социальной инженерии. Не доверяйте автоматически подлинным или достоверно выглядящим приглашениям, корреспонденциям и так далее. Проверяйте по телефону или другими способами, прежде чем открывать что-либо, пришедшее по электронной почте. Работайте над обеспечением безопасности сеансов удаленной работы и инструментов работы из дома, а также обучайте сотрудников не передавать учетные данные, запрашиваемые по электронной почте.

Разработайте специальный тренинг для руководителей, менеджеров и других лидеров по вопросам «охоты на китов». В частности, объясните им, почему они с наибольшей вероятностью могут стать объектами очень сложных атак с применением социальной инженерии.

По возможности используйте инструменты искусственного интеллекта, которые могут обнаруживать неаутентичное поведение в сети. Это может указывать на атаку, слишком незаметную для человека.

Будьте бдительны в отношении инсайдерской угрозы. Взятки в больших размерах создают новый мотив для сотрудников помогать кибербандам атаковать вашу организацию. Уже недостаточно следить только за недовольными сотрудниками. Кроме того, установите дополнительные проверки и подтверждения для денежных переводов, чтобы не дать жертве внутренней социальной инженерии случайно заплатить мошенникам.

Не забывайте основы

Вам следует запретить доступ к инструментам, включая облачные офисные пакеты, с помощью простого имени пользователя и пароля. Настройте дополнительную аутентификацию, чтобы банды не могли получить доступ путем кражи имен и паролей.

Новый мир организованной киберпреступности — непростой. Банды усовершенствуют не только инструменты, которые они используют, но и применяют человеческий фактор и легальные инструменты для обмана и уклонения. Угроза меняется, но от нее можно защититься.

Перевод статьи Cyber Gangs: Who Are They in 2021 and What Do They Want?