Эксперты Group-IB опубликовали ... Иван Писарев, Group-IB: Old Gremlin – редкий пример группировки, которая продолжает таргетированные атаки, когда остальные переходят на массовые рассылки
Иван Писарев, Group-IB: Old Gremlin – редкий пример группировки, которая продолжает таргетированные атаки, когда остальные переходят на массовые рассылки...
Эксперты Group-IB опубликовали отчет о группировке Old Gremlin, которая привлекла к себе внимание требованием заплатить миллиард рублей за расшифровку данных. О том, что это за группа и чем еще она интересна, кроме баснословной суммы выкупа, мы поговорили с автором отчета, руководителем отдела динамического анализа вредоносного кода департамента киберразведки Group-IB Иваном Писаревым.
О спикере:
Иван Писарев, руководитель отдела динамического анализа вредоносного кода департамента Group-IB Threat Intelligence.
Автор отчетов о группах RedCurl, Silence, OldGremlin и Conti, блогов об Android-троянах Gustuff, Fanta, банкере IcedId. На днях выступил на конференции BlackHat с докладом о группе Conti.
Cyber Media: Какие особенности Old Gremlin вы выделяете в первую очередь?
Иван Писарев: До недавнего времени основная часть русскоязычных кибергруппировок, что называется, «не работали по RU». «Гремлины» составляли исключение — они атакуют только российский бизнес. Начиная с весны 2020 года, когда «гремлины» впервые появились у нас на радарах, мы насчитали 16 кампаний — фишинговых рассылок по промышленным, строительным, логистическим, страховым, IT-компаниям.
По их действиям, рассылкам, подготовке к атаке, по наличию собственного фреймворка, который мы назвали TinyFramework, по тому, как они действуют внутри организации, – по всему этому видно, что это опытные ребята. Техника их работы, с одной стороны, кажется немного устаревшей, потому что таргетированные атаки уже в 2020 году не приносили преступникам особо высокие прибыли. Группы вымогателей перешли на массовые рассылки – где повезет, там зашифруем.
А «Гремлины», наоборот, старались атаковать таргетировано. Мы даже видели кампанию, в которой они сначала отправили жертве одно письмо, затем, когда получили ответ, – еще одно письмо, и только потом, когда жертва ответила еще раз, они выслали письмо с вредоносным содержимым. То есть они максимально усыпили бдительность жертвы. Сейчас это очень специфично для проправительственных группировок, настроенных атаковать некие специально выбранные цели. Но для преступников, которые преследуют финансовую выгоду такое поведение нетипично.
Тот факт, что «Гремлины» не работают по множеству целей разом, может говорить о том, что в группировке не очень много людей. Там явно есть участники с опытом в кибербезе и редтиминге, есть как минимум один специалист по Node.js.
И еще один интересный момент: на примере Old Gremlin мы можем проследить эволюцию шифровальщиков в целом. Они начинали с небольших атак с целью шифрования устройства у какого-то физического лица с требованием небольшого выкупа, а теперь они второй год подряд ставят рекорд по сумме первоначального выкупа в России: в 2021 году это было 250 млн. рублей, а в этом – уже один миллиард рублей. Далее они стали экспериментировать с темами фишинговых атак. Тут стоит отметить, что их рассылки всегда следовали повестке: в 2020 году это был «ковид», удаленка и онлайн-интервью, во время беспорядков в Белоруссии они использовали ситуацию с протестами, потом санкции и ограничения и так далее.
Параллельно преступники развивали свои инструменты. Было видно, когда какие-то средства у них не отрабатывали, как ожидалось, и от них отказывались. А со временем группа перешла к Big Game Hunting (охоте на крупные цели). Сейчас они нащупали некую «золотую середину» между затрачиваемыми ресурсами на разработку вредоносного ПО, организацию атаки и ожидаемой выгодой.
«Гремлины» всегда следят за актуальными трендами кибербезопасности в мире, чтобы подхватывать какие-то новые техники, максимально технично провести атаку. Это помогает им пользоваться методами, с которыми не все организации еще знакомы. Когда мы изучали их инструменты, то обнаружили средства, которые использовались другими группировками – «Гремлины» взяли их за основу и очень сильно переработали.
Cyber Media: Насколько сложно получить доступ к таким инструментам?
Иван Писарев: Достаточно одного запроса в Google. Исходный код простого кибероружия можно найти в публичных источниках – например, GitHub. Разработчики специально выкладывают их, чтобы команды кибербезопасности улучшали методы защиты. Ведь даже, если его не будет в паблике, злоумышленники создадут что-то подобное и начнут распространять по закрытым каналам. Так что тут действует правило: предупрежден — значит вооружен.
Некоторые инструменты требуют более детального исследования, чем простое ctrl+c ctrl+v. Пример – инструмент, эксплуатирующий уязвимости в легитимном драйвере GIGABYTE (CVE-2018-19320, CVE-2018-19322, CVE-2018-19323, CVE-2018-19321). Тут, помимо заимствования уязвимого драйвера, необходимо написать свой собственный, что «Гремлины» и сделали – он на уровня ядра останавливал процессы систем безопасности (подробнее в отчете). Стоит отметить, что написать такой драйвер способен программист «средней руки».
Cyber Media: При этом они заражают компании только авторским ПО?
Иван Писарев: Нет, в их арсенале есть как общедоступные инструменты (либо инструменты с ограниченным доступом), так и самописные решения. Атакующие написали фреймворк, который они используют на всех этапах атаки: от заражения нулевого пациента до шифрования всей инфраструктуры. Пожалуй, стоит еще отметить, что атакующие активно используют интерпретатор Node.js (соответственно, многие их инструменты написаны на JavaScript).
Cyber Media: Насколько они отличаются от других группировок в техническом плане?
Иван Писарев: Если мы посмотрим как работают группировки из Big Game Hunting, то сразу же заметим плюс-минус одни и те же паттерны: массовые рассылки, массовое сканирование сети, покупка доступов к уже скомпрометированным сетям организаций и так далее. У некоторых групп (примером может служить печально известная Conti) за разные этапы атаки и подготовки к ней отвечают полноценные «отделы»: программисты, RedTeam'еры («черные шляпы»), сисадмины, HR и даже служба поддержки.
Все эти группы выглядят как мастодонты, действующие одинаково. На их фоне, представители OldGremlin выглядят скорее как успешный стартап, работающий по определенному региону и «зарабатывающий» хорошие деньги. И в их атаках дух «стартапа» чувствовался невероятно сильно. Каждая атака тщательно подготовлена (одинаковые письма хоть и рассылались по ограниченному списку контактов, было видно, что готовились они все вручную), использовались самописные (хоть и простые) инструменты.
Cyber Media: Кроме Old Gremlin, есть еще группировки, которые угрожают сейчас российским компаниям?
Иван Писарев: Да, но важно отметить, что многие из этих групп появились давно - более года назад. Многие из них довольно мелкие и их полную историю можно изложить на одной странице, другие же (например, те же «Гремлины») довольно большие. По данным нашей команды DFIR (Digital Forensics and Incident Response, цифровая криминалистика и реагирование на инциденты – прим. ред.), количество реагирований на инциденты в российском сегменте в первой половине 2022 года увеличилось в четыре раза. В основном это именно шифровальщики.
При этом на фоне геополитической ситуации число таких групп растет. Важно понимать, что российские организации атакуют не только шифровальщики, но и хактивисты или группы, цель которых лежит за пределами шифрования - например, коммерческий шпионаж. Примером является RedCurl.
Cyber Media: Группировки, которые атакуют российские компании, действуют только в пределах страны или по всему миру сразу?
Иван Писарев: Ранее у группировок можно было часто наблюдать, как преступники начинают с России, а потом в погоне за большей прибылью расширяют географию. Так было с финансово мотивированными группами Cobalt, MoneyTaker, скамерами, которые работают по схеме «Мамонт», FakeDate итд. Те же RedCurl работали по всему СНГ.
Old Gremlin нацелены на российский сегмент, но мы не исключаем, что в перспективе они перейдут на мировой рынок.
Cyber Media: Нужно ли при этом преступникам переучиваться?
Иван Писарев: Российские компании в среднем – крепкие середняки с точки зрения кибербезопасности. Уровень защиты не самый плохой, но и не самый хороший. Есть организации более зрелые с точки зрения ИБ, причем как в том, что касается технологий, так и в процессах – ликбезы безопасности, семинары и так далее.
Но службы безопасности есть далеко не в каждой организации. Где-то функции безопасности возлагаются на ИТ-подразделение, что не совсем правильно.
Есть страны, где по этому направлению фиксируются более заметные проседания. А есть такие, где все гораздо лучше, чем у нас.
Cyber Media: А что касается технологической стороны вопроса? Понадобятся ли зарубежным группировкам какие-то специфические инструменты, чтобы атаковать российские компании? Понятно, что нужно найти русскоговорящего человека, составить фишинговые рассылки, провести разведку.
Иван Писарев: Да зачастую даже это не приходится делать. Как мы видим по наблюдаемым атакам, даже «дженерики» (стандартные, шаблонные сообщения – прим. ред.) отлично срабатывают. Человек получает самое простое письмо: «Чтобы увидеть содержимое, включите макросы». Он включает, ничего с виду не происходит, но атака успешна.
Мы видим, что группировки рассылают одни и те же письма на английском языке по разным странам, в том числе и по тем, где с иностранными языками не очень хорошо. Да, вероятность, что откроют письмо на родном языке, выше. Но если у вас массовая рассылка и вы знаете, что на англоязычное письмо тоже кто-то клюнет, то вам ни к чему тратить лишние ресурсы.
Подводя итог, скажу, что, скорее всего, нет, зарубежной группировке не придется ничего менять в цепочке атаки.
Cyber Media: Какие уязвимости сейчас активнее всего используются в атаках? Какие участки периметра компаниям нужно в первую очередь проверить?
Иван Писарев: Здесь важно понимать, что причина атаки не всегда может быть связана с уязвимостью какого-то приложения. Да, иногда появляется что-нибудь вроде прошлогодней Log4J, которую сразу подхватывают все шифровальщики.
Но основная часть угроз связана с неверными настройками интернет-серверов, «смотрящими наружу» открытыми RDP-портами и так далее. Злоумышленники постоянно сканируют интернет в поисках таких возможностей, чтобы, например, прокинуть Web-shell и загрузить зловред. Точек входа очень и очень много.
Так что панацеи как таковой нет, и помогут только комплексные средства защиты. В зависимости от того, какого размера компания, какая у нее инфраструктура, нужно подбирать нужный набор решений. Это обязательно должен быть EDR, средства мониторинга периметра и внутренней сети. Для нейтрализации фишинговых атак через электронную почту — «продвинутые «песочницы» с обязательной детонаций всех вложений. Если есть зрелые процессы безопасности, пора использовать Threat Intelligence (система Киберразведки), чтобы не просто индикаторы смотреть, а ловить злоумышленников по тактикам, техникам и процедурам.
Обязательно нужно проводить периодические тренинги для сотрудников, периодически проводить аудит и оценки защищенности. Ни в коем случае нельзя закрывать глаза на происходящие инциденты. Например, не дай Бог, конечно, произошла атака и часть инфраструктуры зашифровали. Почему нельзя просто все откатить назад, восстановить резервную копию и успокоиться? Потому что точка входа в вашей инфраструктуре осталась и через нее снова вернутся злоумышленники.
Поэтому нужна полноценная команда реагирования, которая восстановит картину и закроет угрозы. Лучше, если это будут внешние специалисты, поскольку ИБ-отделы в самих организациях имеют опыт работы преимущественно с «бумажной безопасностью» и ограниченным числом киберугроз.