Каждый год появляются все новые хакерские группировки, которые стремятся сделать себе имя в цифровом преступном мире. 2021 год не стал исключением — прошел всего месяц, а злоумышленники уже провели ряд крупных кибератак с целью вымогательства, сообщает портал Gizmodo.
О группировке хакеров Big Game Hunter [рус. «Охотники за крупной добычей»] стало известно всего несколько недель назад. Мошенники нападают только на крупные компании, которые имеют возможность заплатить выкуп, и из-за этой тактики выбора жертвы группировка и получила свое название.
Жертвами киберзлоумышленников уже успели стать несколько крупных фирм по всему миру, среди которых были производитель автомобильных запчастей, американская отопительная компания и изготовитель лифтов.
Атаки производились с помощью программы-вымогателя Babyk Locker. Она настраивается индивидуально под каждую жертву. Программа шифрует базы данных, почтовые серверы, программное обеспечение резервного копирования, почтовые клиенты и веб-браузеры. После этого жертва не может получить доступ к зашифрованным данным.
После этого создается TXT-файл с запиской о выкупе, которая содержит основную информацию об атаке, и ссылку на сайт, где жертва может вести переговоры для возвращения доступа к данным.
По словам исследователя безопасности Чыонг Донга, код Babyk Locker является любительским, но включает в себя шифрование, которое не позволяет жертвам восстановить свои файлы самостоятельно.
«Несмотря на любительские методы кодирования, надежная схема шифрования использует алгоритм Диффи-Хеллмана, который доказал свою эффективность в атаках на множество компаний», — заявил Донг.
Исследователь угроз Emsisoft Бретт Кэллоу считает, что Big Game Hunter может также быть причастна к недавней кибератаке на аутсорсинговую фирму Secro, которая участвовала в борьбе с Covid-19.
«Все время появляются новые программы-вымогатели, однако многие из них созданы дилетантами. Babyk способна успешно атаковать крупные предприятия, и этим она выделяется», — сказал Кэллоу.
Также Big Game Hunter обвиняют в сливе большого количество данных на популярном форуме даркнета Raid Forums.
Кроме этого, мошенники запустили собственную веб-страницу, на которой публиковали данные, полученные в ходе кибератаки, если жертвы отказывались платить выкуп. На этом сайте Big Game Hunter также выложили своеобразный «кодекс чести», в котором подробно рассказали о том, кого они атакуют, а кого — нет.
Например, киберпреступники не трогают малый бизнес, годовая прибыль которого меньше $4 млн, образовательные учреждения, за исключением «элитных» школ и вузов, а также больницы, если те не являются частными клиниками пластической хирургии или стоматологиями.
Хакеры также не скрывают своего негативного отношения к людям нетрадиционной ориентации и некоторым расам: Big Game Hunter не атакуют благотворительные и некоммерческие организации, но «сделают исключение», если они поддерживают ЛГБТ-движение («Международное общественное движение ЛГБТ» признано экстремистским и террористическим, запрещено на территории РФ) и Black Lives Matter.
Вдобавок ко всему, в разделе этого сайта «О нас» написано, что хакерская группировка не является преступной: злоумышленники всего лишь беспокоятся о системах безопасности разных корпораций и проверяют их.
Если систему удалось взломать, и она не прошла тест, то хакеры просят плату за проведенный «аудит».
«В нашем понимании, мы — киберпанки. Мы тестируем корпоративные системы кибербезопасности, и в случае удачного взлома — требуем деньги. Если компания не хочет платить, то информацию о найденных угрозах и уязвимостях мы публикуем в своем блоге», — сказано на сайте.
Руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев отметил, что за последние два года киберпреступность вышла на новый уровень: появляется целая индустрия с разделением труда и настоящими производственными цепочками.
«То есть одни команды исследуют уязвимости и пишут вредоносный код, другие реализуют инструменты с применением купленных эксплойтов, третьи непосредственно организовывают вредоносные кампании и далее продают злоумышленникам информацию или удаленный доступ для дальнейшей компрометации. Такое разделение было и раньше, но сейчас это все больше приобретает черты легального бизнеса. Например, все шире используется термин RaaS (Ransomware as a Service). Вредоносное ПО уже продается с уровнем сервисной поддержки, по вполне внятным каталогам и с понятной лицензионной политикой. Иногда сочетание инструментов, кода и выстроенных процессов продается как настоящий бизнес. Все чаще злоумышленники используют традиционные маркетинговые приемы, онлайн-площадки для поиска клиентской базы и сбыта продукции. Появляются и примеры сервисов для удобной коммуникации с жертвами кибератак для вымогательства денег или же для демонстрации возможностей компрометации», — сообщил Мальнев.
Старший эксперт по кибербезопасности в «Лаборатории Касперского» Денис Легезо согласился с тем, что сайты, как у Big Game Hunter, — обычное дело для хакерских группировок.
«Big Game Hunter специализируется на атаках с использованием шифровальщиков, и часто злоумышленники, распространяющие подобные зловреды, рассказывают о своих «достижениях» на доступных площадках в сети. Чаще всего они делают это с целью продемонстрировать возможность публикации данных в случае, если жертва не заплатит выкуп за их расшифровку», — объяснил Легезо.
Кроме того, эксперт порекомендовал не романтизировать «кодекс чести» хакеров. По его словам, его стоит воспринимать скорее как устав коммерческого предприятия.
«Чаще всего в них встречается тезис о том, что группа не должна работать на тех или иных территориях. Стоит отметить, что конкретно этот пункт связан в большей степени не с убеждениями группы, а с повышенными рисками для нее в конкретных частях света», — заключил эксперт.