Подписывайтесь на Газету.Ru в Telegram Публикуем там только самое важное и интересное!
Новые комментарии +

Экс-сотрудник ФСБ рассказал о менталитете «русских хакеров»

В Group-IB заявили, что о полной ликвидации группы хакеров REvil говорить рано

Группировка REvil снова активно проводит атаки в сети — так утверждает ИБ-компания ReversingLabs. Однако другие специалисты уверены — еще до операции ФСБ хакеры ушли в подполье. В Group-IB считают, что пока о полной ликвидации хакеров говорить рано, а экс-сотрудник ФСБ раскрыл «Газете.Ru», почему «русских хакеров» не остановит тюрьма.

Выжившие

По данным ИБ-компании ReversingLabs, аресты предполагаемых участников киберпреступной группировки REvil, которых в международном сообществе часто причисляют к «русским хакерам», не повлияла на ее активность в сети.

Эксперты утверждают, что арест 14 ее предполагаемых участников в рамках операции ФСБ России никак не сказался на темпе атак. По их данным, после арестов число новых заражений в сутки увеличилось с 24 (169 в неделю) до 26 (180 в неделю).

Однако специалисты по информационной безопасности из других компаний сомневаются, что данные ReversingLabs корректны. Они лишь признают, что REvil не ликвидирована полностью.

Руководитель Лаборатории компьютерной криминалистики Group-IB Олег Скулкин рассказал «Газете.Ru», что, по его данным, группировка REvil стала куда менее активной. «Еще до арестов в России REvil и так не были активны уже несколько месяцев. Но о полной ликвидации REvil, действительно, говорить пока рано», — отметил он.

«Судя по предъявленным обвинениям, задержаны были не разработчики программы-вымогателя REvil, и даже не партнеры, которые ее арендовали, а лица, участвовавшие в обналичивании денежных средств», — добавил аналитик.

По его словам, у оставшихся на свободе на некоторое время могут возникнуть сложности с обналичиванием средств, полученных незаконным путем, но не более того.

Причина в том, что REvil активно работала по модели RaaS (Ransomware-as-a-Service), по которой разработчики продают или сдают в аренду вредоносное ПО своим партнерам для дальнейшего взлома сети и развертывания программ-вымогателей. Скулкин отметил, что деятельность REvil в таком формате — одна из основных причин впечатляющего роста рынка программ-вымогателей.

«Сейчас бывшие партнеры REvil могут временно прекратить свою деятельность или без проблем работать с другими партнерскими программами.

Так что, несмотря на обеспокоенность киберпреступного сообщества ситуацией с REvil, атаки представителей других партнерских программ продолжатся — это факт»,

— констатировал ИБ-специалист.

ИБ-эксперт Виталий Кремез из Advanced Intel согласился, что сейчас REvil не так активна, как раньше. По его словам, ReversingLabs некорректно поступили, опубликовав материал о росте активности, так как никакой деятельности группировки хакеров на таком уровне уже давно нет.

Эксперты из MalwareHunterTeam также уверены, что REvil снизила свою активность еще до арестов, подтверждая слова Скулкина из Group-IB.

Эффект на три года

Бывший сотрудник отдела по борьбе с оргпреступностью УФСБ по Москве и Московской области Александр Беляев сообщил «Газете.Ru», что даже после операции ФСБ хакеры, использующие вымогательское ПО от REvil, продолжат деятельность группировки.

«Стойкость эффекта таких операций по пресечению деятельности хакерских группировок — это тот срок, который люди проводят вне интернета. По сути на время заключения. Осудили на три года, после этого хакер выходит и принимается опять за свое», — отметил он.

По мнению специалиста, даже если условия в месте лишения свободы были «идеальными», и хакер не получал никакой новой информации о технологиях взлома и о новом ПО, ему понадобится совсем немного времени для восстановления пробела в знаниях.

«В течение трех месяцев человек в состоянии восстановить свои компетенции и поднять свой уровень знаний до полной готовности к совершению новых киберпреступлений», — констатировал Беляев.

Экс-сотрудник ФСБ рассказал, что задержанных членов REvil не остановит угроза нового тюремного срока.

«Это вопрос экономики. Переучиваться на другую профессию нет резона. Финансовый КПД в сфере IT превышает почти любую другую. Затраты тоже практически равны нулю, нужно только электричество. Так что почти всегда те, кто совершал киберпреступления, будут и дальше заниматься тем же самым», — заметил Беляев.

По его мнению, исправительная система не в состоянии помочь этим людям кардинально, так как они «пришли к идее о совершении преступлений в трезвом уме и ясной памяти».

«Если человек продолжает противоправную деятельность в сети в течение года и его никто не привлек к ответственности, у него меняется менталитет. И отношение к преступлениям.

Он перестает осознавать эти действия, как противоправные, как то, что должно заставлять ворочаться совесть. Это уже профессиональный закоренелый преступник», — заключил специалист.

Однако эксперт считает, что операция ФСБ в отношении REvil помогает минимизировать атаки со стороны группировки.

«Все киберпреступления проводят люди, поэтому, безусловно, задержание и привлечение к уголовной ответственности и лишение конкретных хакеров возможности осуществлять свои действия, решает вопрос повышения уровня киберзащиты», — отметил он.

Он также привел в качестве довода то, что ни одна преступная группировка никому не отдаст даром те наработки, что ей приносили деньги, поэтому разработки REvil вряд ли уйдут целиком и полностью кому-то еще. Плюс, добавил Беляев, сфера киберпреступности требует высокой квалификации каждого участника деятельности. Соответственно, не каждый хакер будет способен реализовать то, что осуществляла REvil.

Загрузка