Расцвет и упадок многомиллионной бизнес-империи программ-вымогателей

отредактировано 16 июл Раздел: Шифровирусы шумной толпою
Резюме:

11 июня 2021 года программа-вымогатель Avaddon, ответственная за многочисленные киберинциденты с 2020 года, приняла решение не только приостановить свои операции, но и предоставить ключи дешифрования всем жертвам, которые стали их целью.

Компания AdvIntel смогла добиться прозрачности виктимологии Avaddon, получив информацию об их мастер-ключе. Такая видимость всех жертв группы (а не только компаний, данные которых были официально размещены в блоге позора Аваддона) позволила получить уникальное представление о шаблонах, стратегиях и методах Авадона.

В ходе расследования виктимологии компания AdvIntel установила, что общий доход, полученный одним оператором за год деятельности Avaddon, потенциально может равняться 1 000 медианной заработной платы в России, что объясняет основу выкупа и то, почему она привлекает все больше и больше талантливых людей в разных странах.

Согласно выводам AdvIntel, полученным в результате исчерпывающих расследований сообщества злоумышленников, гибель Avaddon, вероятно, была вызвана политическими причинами - резкой реакцией администрации президента США на недавние атаки программ-вымогателей и последующим давлением со стороны российских правоохранительных органов.

Введение - Затерянная Империя

Трехбуквенный еврейский корень «авад» (אבד), от которого произошло имя Аваддон, имеет два основных семантических толкования - «разрушать» и «терять / теряться». Действительно, эти два значения идеально определяют программу-вымогатель Avaddon - разрушительную и вредоносную силу, которой всегда удавалось скрыться и исчезнуть.

Сегодня мы проливаем свет на эту затерянную и скрытую преступную империю, используя уникальные наборы данных - полный список жертв Avaddon, когда-либо подвергавшихся нападениям группы за год ее существования, - обнаруженных AdvIntel. Эти уникальные данные SIGINT подтверждаются эксклюзивными выводами HUMINT - заявлениями, сделанными лидерами подпольного киберсообщества Восточной Европы, которые работали с Avaddon, - объясняя и интерпретируя быстрый рост и еще более быстрое падение групп.

11 июня 2021 года Avaddon выпустила ключи для более чем 2000 жертв, содержащие точные имена компаний-нарушителей.

Наш анализ подтвержденной виктимологии показывает, что некоторые из них были ведущими мировыми компаниями. Как этой группе удалось за год поразить такое количество компаний? Ответ: Avaddon создал вокруг себя целую экосистему - сеть цепочек поставок, международных филиалов, продавцов, менеджеров подпольных аукционов и переговорщиков. Они создали органическую экосистему экономики криминального вымогательства - форму «выкупа».

Конечно, Avaddon была не единственной группой, придерживавшейся диверсифицированного подхода к построению более крупной бизнес-системы. Однако, вероятно, они были самыми креативными. Они были единственной группой, которая позволяла международным партнерам присоединяться к команде в качестве аффилированных лиц, которые непосредственно освещали атаки Avaddon на пяти континентах, но способствовали их продвижению.

Одна из крупнейших атак Avaddon - на крупное финансовое учреждение, произошедшая в мае 2021 года - иллюстрирует этот комплексный подход к построению экономики атак с использованием программ-вымогателей.

Операции Avaddon ориентированы на компании и правительства по всему миру, за исключением России.
Во время исследования атаки мы обнаружили 141 уникальный индикатор компрометации RDP для домена жертвы. Это означает, что Avaddon использовал услуги группы перебора RDP... Другими словами, до того, как Avaddon выполнил операцию по краже данных, они могли использовать весь объем подпольных сервисов и приобрести полный набор - доступ по протоколу RDP, прямой доступ к сети и вредоносное ПО для кражи данных.

Виктимология - ключ к пониманию противника

Этот новаторский подход позволил Avaddon выполнить несколько тысяч атак.

Традиционно при профилировании виктимологии группы компании полагаются на общедоступные данные, то есть на веб-сайты с программами-вымогателями. И действительно, даже глядя на эти частичные данные, которые включают только компании, информация о которых была сброшена в блоги, мы можем увидеть, что Avaddon сыграл важную роль в ландшафте угроз.

9d5cee_daa9d710b45f43e88be3a6d0e3447127~mv2.webp

Однако жертвы, имена которых были опубликованы в блоге позора, - это только верхушка айсберга. Расширенный набор данных AdvIntel, охватывающий всех жертв Avaddon, обеспечивает дополнительную прозрачность операций.

Для этого статистического исследования компания AdvIntel выбрала специальный набор данных для ценных целей. Во-первых, мы определили отрасли, которые были основными целями группы - производство, розничная торговля, технологии и машиностроение, которые, скорее всего, являются наиболее предпочтительными секторами, потому что для компаний в этих секторах даже кратковременный перерыв в работе может повлечь за собой фатальные последствия.

9d5cee_f69b99bce6664d7b8383557f4922ae96~mv2.webp

На следующем этапе мы провели исследование рынка доходов жертв, чтобы определить потенциальную схему атак Avaddon.

Общий доход всех жертв составил около 35 миллиардов долларов. Это число, по сути, сегмент рынка, которому так или иначе угрожают вредоносные операции Avaddon.

Жертв Аваддона можно разделить на три категории: маленькие, средние и большие.

Средний доход жертвы составил:

13 миллионов долларов США для малого бизнеса
287 миллионов долларов для жертв среднего размера
3,7 миллиарда долларов США для крупного бизнеса

9d5cee_ae5fca33a51847aebaeb2cc998103e6a~mv2.webp

Ransonomics: прибыль от программ-вымогателей Avaddon

Наша следующая цель исследования состояла в том, чтобы подсчитать, сколько денег может заработать группа Avaddon до своего быстрого выхода на пенсию. Мы использовали наши предыдущие знания, полученные в результате взаимодействия с злоумышленниками, для разработки реалистичных формул расчета требований выкупа, подкрепленных реальными делами Avaddon.

После определения дохода они исследуют сектор, в котором работает жертва. Наиболее распространенным расчетом, который, согласно нашим конфиденциальным и достоверным источникам информации, используемым Avaddon, был так называемое правило «5x5», когда 5% годового дохода используется для начала переговоров, а годовой доход оценивается в одну пятую от общий доход. Другими словами, для жертвы, чей общий доход составляет 7 миллионов долларов США, начальная цена выкупа будет составлять 70 000 долларов США. Как правило, Avaddon снижал цену во время торга, и конечный выкуп составлял около 50 000 долларов США за успешную операцию.

Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.

Комментарии

  • отредактировано 16 июл PM
    +
    Однако не все компании из двухтысячного списка жертв были вынуждены заплатить такой выкуп. Во многих случаях переговоры заканчивались неудачей или выкуп был минимальным - несколько тысяч долларов (особенно в самом начале). В то же время более крупные платежи требовали от более крупных организаций. Однако здесь формула «5x5» была заменена более адекватной шкалой для более крупного выкупа, включающей 0,01% годовой прибыли вместо 5% и т. Д. Для многомиллиардной компании спрос ограничивался несколько миллионов долларов.

    После завершения всех расчетов с индивидуальным изучением каждой жертвы из набора ценных данных, AdvIntel установил, что основная часть выкупа поступила от более чем тысячи небольших компаний, которые требовали от 30 000 до 70 000 долларов США и составила 55 миллионов долларов, выплаченных компании Avaddon. Более 500 крупных предприятий в списке потерпевших составили еще 30 миллионов долларов, а остальная часть была поделена между более мелкими выплатами. Таким образом, наша общая оценка дохода Avaddon составляет приблизительно 87 миллионов долларов США.

    Наша команда также попыталась рассчитать доход основного члена команды Avaddon на основе этих чисел. В рамках Avaddon RaaS более 70% дохода шло филиалам, поэтому основная команда, и особенно лидер Avaddon, получила около 26 миллионов долларов США. Это число, вероятно, было разделено по крайней мере между четырьмя людьми, которые получили приблизительный годовой доход (Avaddon существовал в течение года) 7 000 000 долларов США. Для сравнения - средний годовой доход в России оценивается в 7000 долларов.
    Другими словами, за год разработки программ-вымогателей член Avaddon заработал столько же денег, сколько средний россиянин за тысячелетие

    Крушение Аваддона - Черная метка киберпиратов

    Если Avaddon был таким успешным, что могло побудить их бросить курить? Вероятный ответ - страх. Правоохранительные органы США и администрация Байдена были очень откровенны в отношении будущих ответных мер против программ-вымогателей и новой точки зрения, в которой вымогатели рассматриваются как, по сути, террористический акт. Этот новый подход к цифровому вымогательству со стороны ведущей мировой сверхдержавы вызвал прямой отклик в подпольном сообществе - вышеупомянутая вымогательство - тщательно и скрупулезно выстроенная сеть альянсов и цепочек поставок - начала быстро терпеть неудачу.

    Программные брокеры отказались продавать вредоносное ПО группам вымогателей, форумы запретили партнерство RaaS, а филиалы остались без средств и услуг для распространения полезной нагрузки. Мир киберпреступности всегда был похож на пиратство, и у него есть собственная «черная метка» - смертельный знак стигмы - после Colonial Pipeline программы-вымогатели получили этот знак на себе. Avaddon, находившийся в центре динамичной и бурной экосистемы программ-вымогателей, быстро осознал риски, с которыми они могут столкнуться.

    Когда политика встречает киберпреступность

    Это осознание, вероятно, было вызвано недавним вмешательством политики в сферу киберпреступности. В целом внутренняя логика российского ландшафта безопасности предполагает, что успешная кибер-группа в какой-то момент станет достаточно заметной, чтобы привлечь внимание государства. Обычно правоохранительные органы закрывают глаза на кибероперации, если только эти операции не нацелены на российских граждан или бизнес. Однако в мае 2021 года этот статус-кво изменился.
    После того, как администратор крупнейшего форума XSS призвал к запрету программ-вымогателей, оправдывая это политическими причинами, сообщество цифровых вымогателей в России, как было замечено, прошло стадии паранойи. Это было подтверждено только многочисленными заявлениями, сделанными за последние три месяца правительством России, Министерством иностранных дел России и лично президентом Путиным о создании международной российско-американской инициативы по созданию совместного ландшафта кибербезопасности. Российские официальные лица, вероятно, видят в этом инструмент деэскалации американо-российских отношений, особенно в свете предстоящего саммита Байдена и Путина, намеченного на 16 июня 2021 года.

    Также примечательно, что некоторые из юрисдикций, на которые нацелен Аваддон, - Иран, Китай и Турция, имеют прочные геополитические связи с Россией и действуют как российские союзники или важные экономические партнеры. Однако неясно, могло ли это привести к обострению отношений между Аваддоном и российским государством.

    Какими бы ни были истинные доводы российских политиков, призывающих к международному сотрудничеству в области кибербезопасности, эти недавние заявления явно оказали влияние на подпольное сообщество киберпреступников. AdvIntel отслеживает многочисленные обсуждения между высокопоставленными участниками, работающими с Avaddon, которые упомянули, что одно из аффилированных лиц группы было задержано российскими правоохранительными органами накануне американо-российского саммита и что могут последовать дальнейшие аресты лидеров программ-вымогателей с целью обезопасить политический ландшафт.

    Avaddon Decryption Tool
    https://www.emsisoft.com/ransomware-decryption-tools/avaddon

    https://www.advanced-intel.com/post/the-rise-demise-of-multi-million-ransomware-business-empire
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.