Всем привет! Подводим итоги месяца нашим традиционным дайджестом самых интересных новостей. Август принёс страсти по Цукербринам: Дуров, Маск и Цукерберг дружно попали в громкие заголовки. В России же готовят проект о сборах с компаний за иностранное ПО, а в США хотят приравнять киберпреступников к террористам.
Август принёс рекорды: брокер данных в США допустил утечку 2,7 миллиардов записей на американцев, а 2024-й на пути к рекордному году по рансомварь-выплатам. Также в ушедшем месяце форум WWH Club вместе с владельцем из МММ и группировка Dispossessor отправились под нож ФБР. Об этом и другим новостях и ИБ-курьёзах последнего летнего месяца читайте под катом!
Страсти по Цукербринам: Дуров, Маск и Цукерберг в заголовках новостей
Ночь на 25 августа принесла внезапные известия: Павел Дуров был задержан в аэропорту Парижа и помещён под стражу. Его приняли прямо с трапа его частного самолёта. На Дурова, гражданина Франции с 2021-го, был выдан ордер на задержание, и французские СМИ сразу сообщили, что его точно арестуют.
Власти Франции обвинили Дурова в соучастии в торговле наркотиками, преступлениях против детей, терроризме, отмывании денег и мошенничестве из-за отсутствия модерации в Telegram. Прокуратура Франции вскоре выпустила пресс-релиз по задержанию Павла Дурова. В отношении него ведут расследование по 12 статьям. Включая отказ от сотрудничества и распространение всего возможного в Telegram. Отдельно можно отметить «Незаконное предоставление средств криптографии сверх необходимых для обеспечения конфиденциальности». Формулировка чудесная.
В последующие дни сюжет вокруг ареста Дурова продолжал лихо закручиваться. Как написала WSJ, в 2018-м он встречался с Макроном за обедом, и тот предлагал гражданство и заодно перенести штаб-квартиру Telegram в Париж. Дуров отказался. Но гражданство в итоге получил.
А за год до этой встречи разведка Франции совместно со спецслужбами ОАЭ (!) взломала айфон Дурова. Французы были недовольны тем, что Telegram использовали террористы из Исламского государства. Telegram же годами игнорировал повестки и судебные постановления, требующие взаимодействия с властями.
Иными словами, приключения Дурова во Франции начались явно не вчера, и закулисные отношения с французами и Эмиратами у него все эти годы были запутанными. Видимо, Дуров в этот раз слишком долго не отвечал на звонки Макрона. И в итоге пришёл черёд людей с холодными головами сделать ему предложение, от которого невозможно отказаться. Пока нам остаётся спекулировать, зачем долгое время избегавший европейских силовиков Дуров отправился во Францию. И не летел ли он на сделку, которая повернула не туда.
Арест Дурова породил многочисленные спекуляции о том, что может ждать Telegram и не выдаст ли Дуров ключи шифрования или иные преференции по доступу к чатам и их владельцам французской — и не только — разведке. История также взбодрила желающих наподдать Telegram по всему миру, и новости о многочисленных претензиях к мессенджеру и возможной блокировке стали всплывать в Индии, Индонезии, Южной Корее и других странах.
А многочисленные любители свободы и демократии резко расчехлились и начали восхвалять Францию за беспрецедентные действия в адрес Дурова. Ведь сейчас хорошие спецслужбы заберут ключи шифрования у плохих, и всё наладится!
В итоге Павел Дуров был освобождён под залог в €5 миллионов. Ему запретили покидать Францию, он должен дважды в неделю отмечаться в полиции. Абсурдные обвинения идут по ранее озвученным статьям, включая отказ от сотрудничества, незаконное предоставление средств криптографии и соучастие в распространении наркотиков и прочего крамольного. Так что эпопея продолжается.
Между тем для любителей OSINT на скриншоте наглядный пример, почему не надо возить с собой в деловые поездки инстаграмных девиц. Они задокументируют онлайн всё. Вообще всё. Включая визиты в азербайджанский центр кибербезопасности перед полётом во Францию. С подписью «Побывали в Министерстве Кибербезопаcности».
Публикации спутницы Дурова в сети в Инстаграме с геометками привели к тому, что некоторые издания обвинили её не только в том, что полиция таким образом узнала о времени прилёта Дурова во Францию, но и дошли до заявлений, что у дамочки в кармане агентурная корочка чуть ли не Моссада. Майор Вавилова по приказу прибыла, желаю здравия.
На фоне ареста Дуров Марк Цукерберг резко переосмыслил свои прежние решения в плане взаимодействия с властями и сдал весь дипстейт демократической партии Америки. В августе Цукерберг признал очевидное-невероятное: Facebook плотно сотрудничал с властями США по цензурированию контента. Так, во время пандемии цензуре подверглась любая информация о ковиде, которая не вписывалась в официальную повестку.
А перед президентскими выборами 2020-го Facebook боролся с дезинформацией от… вездесущих русских хакеров. Ссылки на расследование о сыне Байдена активно блокировали и занижали в выдаче. Как сообщил Цукерберг, с тех пор стало понятно, что это никакая не российская дезинформация, а повседневные приключения небожителей из властных кругов США. Марк теперь ужасно раскаивается и твёрдо убеждён, что вмешиваться в выборы и поддаваться давлению любой администрации не нужно. И вообще, стоит проверять контент на предмет дезинформации и незаконности, перед тем как блокировать его и занижать в выдаче.
В общем, либо пиар-отдел компании отрабатывает стандартную тему с корпоративными извинениями, либо заранее готовятся к возможному возврату Трампа в Белый дом. Уж этому-то негодяю давить на Facebook Цукербрин не позволит. Сам же Трамп в своей привычной манере уже пригрозил создателю платформы пожизненным заключением за вмешательство в грядущие выборы.
В августе Бразилия задала тренды в блокировке всяческого крамольного: верховный суд страны вынес решение о немедленной приостановке работы eX-Твиттера. За нежелание сотрудничать с властями по удалению незаконного контента и отказ назначить официального представителя. Ранее последнему угрожали посадкой за нежелание цензурировать контент.
Недовольство связано с дезинформацией на платформе, а именно наличием на ней контента, «угрожающего бразильской демократии». Как водится, независимо от сложности политической системы, будь то латиноамериканская помойка или всемирный гегемон, демократия — это когда побеждают демократы. И цензурят не-демократов.
Также были заморожены активы компаний Маска в стране, включая не имеющие отношения к соцсети, как то Starlink. Маск в итоге заявил о блокировке доступа к X через Starlink — видимо, для разморозки средств. Но также и раскрыл требования властей Бразилии и начал публиковать списки аккаунтов, блокировки которой добивалась правящая партия. В нём ожидаемо оказались общественные и политические деятели, а также родственники политиков и журналистов.
Отдельным ноу-хау бразильского правосудия можно выделить штрафы для тех, кто решит обойти запрет на доступ, скажем, с помощью VPN. Любому человеку или компании грозят санкции на 50 тысяч реалов. В день. Это около 800 тысяч рублей. При этом в Бразилии 22 миллиона пользователей X, и это самое скачиваемое приложение в стране. В общем, ждите новинку скоро в каждом доме. 800 тысяч штрафа — и тбилисские треды отправятся на свалку истории рунета. Такова цена спасения.
Слив данных на американцев от National Public Data
В апреле брокер данных в США под брендом National Public Data, занимающийся аналогом проверок службы безопасности, допустил масштабную утечку: 2,7 миллиарда записей на американцев. Тогда базу выставили на продажу за $3,5 миллиона, а в августе злоумышленники сообщили о планах её слить.
И вскоре база всплыла на свежей итерации Breached в свободном доступе. По масштабам утечка вполне может сравниться со взломом Yahoo в 2013-м, когда взлом затронул все три миллиарда пользовательских аккаунтов на платформе. Тогда это обошлось Yahoo в $150 миллионов по судебным делам. Допустившему этот слив брокеру данных, судя по всему, тоже стоит морально готовиться.
2,7 миллиарда записей содержат имена, адреса и страховые номера. Последнее особенно примечательно, так как в США на них многое завязано, поэтому есть серьёзный потенциал для мошенничества. Также часть записей идёт с данными на родственников, а некоторые содержат информацию о людях на 30+ лет в прошлое — всё, что брокер данных сумел собрать на продажу. Потенциально утечка затрагивает чуть ли не каждого американца, но часть проверенных данных по базе не бьются, так что она местами либо устаревшая, либо неточная. На вопросы об утечке компания не ответила, но ей сейчас и не до этого — на неё уже подали несколько коллективных исков, и слив таких масштабов грозит не 60 тысячами рублей штрафа, а миллионами долларов.
Вскоре всплыли и любопытные подробности этой масштабнейшей утечки. У сестринской компании с доступом к тем же базам данных прямо на сайте, на домашней странице, в открытом доступе лежал архив с исходниками, паролями к админке и бэкенду.
Архив висел на сайте до 19 августа, пока о нём не сообщили журналисты. А пароли совпадают с теми, которые раньше утекали с аккаунтов основателя NPD. Сам он сообщил, что архив с сестринского сайта убрали, его скоро отключат, и вообще это был старый сайт с нерабочим кодом, а ввиду идущего расследования больше подробностей он сообщить не может. Но звучит это всё не очень убедительно. Так что за утечкой данных на 2,7 миллиарда записей и, по предварительным оценкам, на 272 миллиона человек может стоять вот такое лёгкое ИБ-недоразумение.
Закон о зарубежном ПО в России и о кибертеррористах в США
В ушедшем месяце появилась информация, что уже в сентябре в Госдуме представят законопроект о специальном сборе с бизнеса за зарубежное ПО. Согласно планам, бизнес будет оплачивать лицензии на него на рублёвые спецсчета, а в случае отказа правообладателей от такой щедрости деньги уйдут в фонд поддержки российского IT.
Мера, как водится, непопулярная, но направлена на стимулирование перехода на российское ПО. Малый и средний бизнес, а также бюджетные организации, она не затронет. Некоторые участники рынка планируемым нововведениям не рады и не стесняются выражать обеспокоенность, ссылаясь на трудности и расходы на разработку собственного ПО. При этом каждая пятая компания, владеющая критической инфраструктурой, год назад сообщила, что к 2025-му на отечественный софт перейти не успеет.
С оглядкой на новые сборы, вероятно, некоторые решат всё же пересмотреть своё пристрастие к пережиткам однополярного мира в виде чуждого нам западного софта. Особенно с учётом того, что всё больше платформ по следам свежих санкций продолжают закрывать доступ россиянам — об уходе из страны недавно заявили Notion и Coda.
В США также в работе любопытный законопроект. Сенатская комиссия по разведке предлагает приравнять рансомварь-атаки к терроризму. Злоумышленники в таком случае станут «враждебными иностранными киберпреступниками», а укрывающие их страны — «государственными спонсорами программ-вымогателей».
Сторонники закона считают, что он пошлёт важный сигнал о намерении бороться с киберпреступностью. В то же время часть экспертов сомневаются, что от него будет толк: уже обложенные санкциями страны новые вряд ли заметят, а скрывающиеся по ним злоумышленники поведения не изменят. Да и большие дяди, занимающиеся риал политик, лейблами «государство — спонсор [кибер]терроризма» разбрасываться не станут — борьба борьбой, а закулисные переговоры важнее.
Так что станет ли закон переломным моментом в войне с киберпреступностью или всего лишь даст возможность товарищу Wazawaka и компании флексить статусом международного кибертеррориста, пока сказать сложно.
На пути к новым рекордам: состояние дел на рансомварь-сцене
В августе были опубликованы два интересных отчёта о первом полугодии в мире рансомвари. Итак, 2024-й ожидаемо на пути к тому, чтобы стать рекордсменом по рансомварь-выплатам: за первую половину года злоумышленникам выплатили более $459 миллионов. Несмотря на то, что число компаний, готовых платить выкупы по следам шифрования, снизилось почти на треть, растут медианные выплаты и число атак. И злоумышленники чаще атакуют крупный бизнес и критическую инфраструктуру, готовые выплатить большой куш.
При этом в сравнении с аналогичным периодом прошлого года рост общих выплат небольшой — всего 2%. Криптовалютные кражи показали гораздо более впечатляющий рост: сумма почти удвоилась — с $857 миллионов до $1,58 миллиардов. Также почти вдвое выросла и средняя сумма краж, достигнув $10,6 миллионов. Частично за это ответственен выросший курс биткоина; по той же причине криптоворы возвращаются к корням — атакам по централизованным платформам, где торговля битком более популярна. Подробнее о рекордах 2024-го здесь.
Анализ первого полугодия 2024-го в мире рансомвари также показывает устойчивый рост активности несмотря на успехи правоохранительных органов. И больше половины инцидентов пришлись на шесть группировок.
С уходом BlackCat и серьёзными проблемами у LockBit позиции укрепили Play, Akira и 8Base. В топ-6 также пробились BlackBasta и Medusa, а из новичков отметились RansomHub и DragonForce. Больше всего пострадал производственный сектор — на него пришлись 16,4% атак, следом идут здравоохранение и строительная отрасль с 9,6% и 9.4% атак по ним, соответственно.
Из стран же абсолютным лидером по числу инцидентов ожидаемо являются США — 52% атак пришлись по Штатам, 917 зафиксированных инцидентов. Следом идёт Канада, на её счету всего 109 атак. Так что США продолжают быть основным спонсором рансомварь-сцены стран СНГ с мечтами о яхтах и роскошной жизни. Подробнее о трендах первого полугодия читайте в отчёте.
WWH Club и Dispossessor отправились под нож ФБР
В августе небезызвестный даркнет-форум WWH Club был перехвачен ФБР, во Флориде арестован его владелец. Очередной наш соотечественник, Павел Кублицкий. Другим администратором назван Александр Ходырев из Казахстана. Из дела неясно, был ли он задержан.
WWH Club был хабом для всевозможных киберпреступных активностей и насчитывал 170 тысяч пользователей. Согласно иску, ФБР получили доступ к админке и базе данных сайта. И разбирали её с гуглтранслейтом, так как админка была на русском. Кублицкий и Ходырев объявились в США в декабре 2022-го, подали на убежище, но жили на широкую ногу, соря деньгами.
Между тем из дела известен адрес почты Кублицкого. И благодаря ему выяснилось, что товарищ из Омска, на него открыто несколько производств приставами, и он был одним из руководителей МММ-2011, заведовал омским филиалом. Как водится, привычка — вторая натура. От одной масштабной мошеннической операции в другую и по следам своего идейного лидера — за решётку.
В ушедшем месяце ФБР также была перехвачена очередная рансомварь-операция — на этот раз под нож пошла группировка Dispossessor. Любители чертовски хорошего кофе на заглушке шутят: сервера злоумышленников были «repossessed». То есть изъяты.
Операция была активна с августа 2023-го с неким Brain во главе, на её счету не меньше 43 жертв. Что примечательно, на её сайте регулярно всплывали данные со взломов других группировок, как то Cl0p, Hunters International и 8base — судя по всему, Dispossessor активно перетаскивала к себе недовольных партнёров с прочих RaaS-операций, и украденные ими данные повторно использовались под шантаж. В июле группировка также начала использовать слитый билдер LockBit 3.0, резко повысив масштаб атак.
Однако теперь сервера Dispossessor в США, Великобритании и Германии перехвачены, а партнёрам группировки предстоит искать новый фасад для своих киберпреступных дел.
Августовские курьёзы от мира ИБ
Месяц был богат на курьёзные случаи от мира инфобеза. Так, в США хакер нашёл оригинальный способ не платить алименты: он взломал регистрационную систему и подделал своё свидетельство о смерти. Используя украденную учётку врача, злоумышленник создал фиктивное дело, внёс данные для свидетельства и заверил цифровой подписью врача. Документы были заполнены верно, так что во многих государственных базах данных взломщик был отмечен как умерший.
В итоге товарищ избежал возврата долгов по алиментам и дальнейших выплат. На этом его хакерская карьера не закончилась, и он продолжил взламывать сети, подрабатывая брокером начального доступа. Увы, многоходовочку в итоге раскрыли, и героя истории приговорили почти к 7 годам тюрьмы и $195 тысячам штрафа. В которые входят в том числе и пропущенные выплаты по алиментам. Остап Бендер от мира киберпреступности упустил важный шаг в инсценировке собственной смерти — побег в далёкие тёплые края.
В прошлом месяце ИБ-отдел Университета Калифорнии решил провести тренировку студентов и сотрудников по противодействию фишингу. После этого на кампусе начался сущий кошмар: согласно письму, один из коллег вернулся из Южной Африки с эболой. Для получения дополнительных данных предлагалось перейти по ссылке. Классика.
В университете такую оригинальную кампанию по борьбе с фишингом не оценили. Так что ИБ-отделу пришлось извиняться за поднятую панику и подрыв доверия не только к официальным сообщениям, но и к прекрасной далёкой Южной Африке, где случаев заражения эболой не было с 1996-го. При этом безопасники университета просто использовали в качестве шаблона реальное фишинговое письмо, полученное несколькими неделями ранее. Но как водится, что дозволено киберпреступнику, не дозволено безопаснику.
И наконец, последний летний месяц принёс очередную поучительную историю о попытке вымогательства в адрес работодателя. 57-летний разработчик из США зашёл в сеть своей компании под админкой и поставил запланированные задания на смену паролей админа, администраторов домена и юзеров. В прошлом ноябре в час Х он разослал по компании письма «Ваша сеть взломана».
Злоумышленник потребовал выкуп в $700 тысяч в битках и угрожал отключать по 40 серверов в день, пока его не выплатят. Под это он тоже предусмотрительно поставил задания. Увы, шалость не удалась. А на ноутбуке товарища нашли историю доступа к скрытой виртуалке, с которой он гуглил детали своего плана вплоть до «Командная строка для смены пароля администратора».
В августе горе-шантажиста повязали и предъявили обвинения в вымогательстве, порче оборудования и электронном мошенничестве. Что бывает, когда почитал об успехах рансомварщиков и слишком поверил в себя.
