Финансовый рэкет Banco de Brasilia: новые преступные схемы или Причем тут бизнес-модель RaaS?

3 октября 2022 года компьютеры бразильского государственного банка были заражены вирусом, использующим уникальное шифрование. Прежде чем заблокировать доступ к файлам, вредоносное программное обеспечение копирует данные и отправляет их своему создателю. Злоумышленник связался с банком и потребовал криптовалюту на сумму 5,2 миллиона бразильских реалов (60,5 миллиона рублей). В обмен на гонорар взломщик пообещал предотвратить утечку личной информации клиентов организации в сеть.

Как итог, Бразильский Государственный Банк (BRB) решил выплатить выкуп в размере 50 биткоинов (почти 1 миллион долларов по текущему обменному курсу). Сделка произошла 6 октября в 15:00 по местному времени. Пресс-служба компании не стала комментировать инцидент, но стало известно, что специальное полицейское подразделение по борьбе с киберпреступностью расследует хакерскую атаку.

Известно, что над этим взломом поработала преступная группировка LockBit. К слову, ребята не собираются останавливаться на достигнутом, совсем наоборот, набирают обороты в уходящем году. Буквально через неделю после успешного рэкета бразильских финансистов, киберпреступники с «громом и молнией» похищают данные департамента финансов Калифорнии. Bloomberg заявили, что злоумышленникам удалось заполучить 76 Гб данных, включая финансовые отчеты, конфиденциальную информацию и файлы, содержащие внутренние дела компании. Крайний срок выплаты выкупа назначен хакерами на 24 декабря 2022.

Сейчас LockBit является одним из самых главных игроков на киберпреступной арене. Хакеры разработали совершенно новую стратегию вымогательства, требуя у жертв деньги напрямую и не раскрывая атаку – по крайней мере, на начальном этапе. Группировка даже предоставляет жертвам “особые услуги” за дополнительную плату. Так, например, пострадавший может получить дополнительные 24 часа к времени, отведенному на выплату выкупа; немедленное удаление украденных данных на носителях хакеров или их загрузку на сервера жертвы.

Нельзя не отметить, что LockBit занимает лидирующие строчки по количеству и качеству взломов после громкого выхода Conti из «большой игры». На пике своей деятельности именно Conti начали внедрять новые рычаги давления на жертв. Идея скачивать файлы, а после шантажировать жертв обнародованием, была очень успешно перенята другими группировками. Но методы влияния на «ограбленных» пользователей совершенствуются так же быстро, как вирусные программные коды.

LockBit появилась в 2019 году, но первая версия вымогательского ПО от группировки не обрела популярности у хакеров. На них никто не обращал внимания, пока во второй половине 2021 года в свет не вышла LockBit 2.0, а затем и третья версия программы-шифровальщика (LockBit 3.0). Ее внедрение в сети хакеров стало новой страницей в истории киберпреступности. Теперь даже более мелкие группировки могут соперничать с прежними закрытыми киберсиндикатами. Все благодаря новой модели ведения преступных действий RaaS (Ransomware-as-a-Service; вымогательское ПО как услуга). В рамках такого подхода которой разработчики вымогательского ПО за определенную плату предоставляют другим злоумышленникам свои программы.

Шифровальщик LockBit автоматически распространяется в системе пользователя, но является целевой программой, тоесть не рассылается наугад. После того, как злоумышленник вручную заражает один хост, он может с помощью кода распространить вредоносную программу на другие устройства, функционирующие в качестве сервера. Дальше программа распространяется самостоятельно, что фактически избавляет хакеров от лишних хлопот по поиску и длительному изучению жертвы. Системам защиты рабочих мест такую вредоносную активность обнаружить очень сложно. Исполняемые файлы шифровальщика маскируются под изображения в формате .PNG, что также обманывает системы безопасности. При таком формате работы, создателям компьютерного «червя» нужно только взять у клиента залог, получить заказ на атаку, а затем получить прибыль по «партнерской программе». Партнеру при этом достается до 75% суммы выкупа, остальное разработчикам.

Эксперты отмечают, что после таких нововведений преступные группировки стали больше похожи на организации, которые находятся под контролем профессионалов, а не просто авторитетных лидеров. Согласно схеме RaaS программное обеспечение, обеспечивающее взлом и шифрование файлов пользователей, распространяется только партнерам компании-создателя за определенную сумму. Для того, чтобы сотрудничать с LockBit, необходимо выполнить ряд важных условий. В число требований к потенциальному клиенту входит способность кандидата зарабатывать более 5 биткоинов в месяц; проверка знаний и технических возможностей; наличие профилей на различных хакерских форумах, а также предоставление доказательств опыта работы в других похожих “проектах” и текущего баланса криптовалютных кошельков. Все это позволяет снизить всевозможные риски и укрепить влияние в среде прочих взломщиков и вымогателей.

Таким образом, с уверенностью можно сказать, что протоколы, хакерские программы и схемы их внедрения постоянно совершенствуются. С ростом систем безопасности в криптомире появляются все более сложные и мощные ключи для их взлома. Последние события (нападения на крупные финансовые организации, криптобиржи и даже отдельных физических лиц) показывают, что проблема сохранения информации становится актуальной, как никогда раньше.