Таинственные злоумышленники рэкетируют финансовые компании по всему миру, притворяясь «русскими хакерами»
Злоумышленники используют грозное имя печально известной кибершпионской APT-группы Sofacy/Fancy Bear для банального вымогательства. Эксперты по кибербезопасности настоятельно рекомендуют не платить никаких выкупов.Именем модного медведя
Неизвестная киберкриминальная группировка запустила серию DDoS-атак на финансовый сектор в разных странах мира, требуя выкуп за их прекращение. В письмах жертвам злоумышленники называют себя Fancy Bear. Факт атак подтверждают эксперты компаний Link11, Radware и Group IB.
Fancy Bear - знаменитая кибершпионская группировка, известная также под названиями APT28, Pawn Storm, Sofacy Group, Sednit, Tsar Team и Strontium.
В 2014 г. и позже различные вендоры средств безопасности, включая CrowdStrike, Trend Micro, «Лабораторию Касперского», Mandiant и т.д., неоднократно анализировали атаки, производившиеся APT28, и использованные в ходе таковых инструменты. В ИБ-сфере сложился консенсус, что эта группировка связана с российскими спецслужбами, в первую очередь, ГРУ. В 2018 г. в США было выдвинуто официальное обвинение против ряда сотрудников российской военной разведки, в котором указано, что за Fancy Bear стоят военнослужащие в/ч 26165 (85-й главный центр специальной службы) и в/ч 74455.
Fancy Bear приписывается большое количество высокопрофильных кибератак, в том числе на информационные системы Белого дома, НАТО, Бундестага, Всемирного допингового агентства и т.д.
Деятельность Fancy Bear широко освещалась в СМИ, так что само упоминание этой группировки должно вызывать определенный эффект - особенно в случае, когда это наименование содержится в письме с требованием выкупа.
Мы очень страшные...
Выкуп, который требуют имитаторы Fancy Bear относительно невелик - 2 биткоина (около $18 тыс. по текущему курсу) при условии, что требуемое количество криптовалюты будет выплачено до указанного срока. После этого сумма будет расти каждый день на один биткоин.
«Если вы решите не платить, мы начнем атаку в указанный день и продолжим ее до тех пор, пока вы не заплатите, контрмеры невозможны, вы только потратите больше денег на попытку найти решение (Cloudflare, Incapsula и сходные сервисы бесполезны). Мы полностью уничтожим вашу репутацию и добьемся того, чтобы ваши сервисы останутся недоступными пока вы не заплатите», - говорится в письме.
К нынешнему времени неизвестны случаи, когда «настоящие» Fancy Bear пытались устраивать DDoS-атаки с целью получения выкупа. Совершенно очевидно, что речь идет о самозванцах, использующих «грозное» название для оказания дополнительного психологического эффекта на своих жертв.
К сожалению, это не единственный «аргумент» злоумышленников: одновременно с отправкой угроз они начинают масштабную, многовекторную демонстрационную атаку, призванную продемонстрировать серьезность намерений.
...Но ненастоящие
По данным эксперта компании Link11 Томаса Поле (Thomas Pohle), эти атаки сочетают множество разных протоколов - DNS, NTP, CLDAP, ARMS и WS-Discovery.
По-видимому, вымогатели производят разведку в инфраструктуре жертв и в итоге направляют DDoS-атаку на серверный бэкэнд, который обычно не защищается системами противодействия DDoS-атакам. Таким образом, у злоумышленников есть неплохие шансы на успех.
По данным Group-IB, большая часть компаний, подвергшихся «демонстрационным» атакам, располагаются в Сингапуре, Южной Африке и некоторых скандинавских странах.
В том, что от имени Fancy Bear действуют самозванцы, не сомневается никто: «настоящая» группировка атакует совершенно другие мишени, и никогда не действовала в «коммерческих» целях.
Эксперты указывают, что DDoS-атаки, как правило, осуществляются с арендуемых для этих целей ботнетов, так что у самозванцев-вымогателей, возможно, нет даже собственной инфраструктуры. И в один голос призывают не платить.
«Скорее всего, они рассчитывают взять жертв на испуг «кавалерийским наскоком», в надежде, что те заплатят выкуп, чтобы не связываться с «ужасными» Fancy Bear, - считает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. - Вполне вероятно, что никакой своей инфраструктуры у самозванцев нет. Чаще всего DDoS-атаки ведутся с арендованных мощностей; доступ в сети организаций - жертв вымогательства они также вполне могли купить у кого-то еще, в надежде быстро отбить свои расходы. Относительная массовость рассылки угроз дает основания полагать что план действительно состоял именно в этом - напугать как можно больше потенциальных жертв в надежде, что хотя бы одна раскошелится. Между тем каждый выплаченный выкуп окажется спонсорской поддержкой для дальнейших операций подобного рода».