Німецька федеральна кримінальна поліція (BKA) розкрила особу хакера, відомого під псевдонімом UNKN (або UNKNOWN), який очолював два найвідоміші російські ransomware-угруповання — GandCrab та REvil. Ним виявився 31-річний росіянин Данііл Максимович Щукін з Краснодара.

Звинувачення та масштаби збитків

За даними BKA, Щукін разом з іншим росіянином — 43-річним Анатолієм Сергійовичем Кравчуком — здійснив не менше 130 кібератак і актів комп’ютерного саботажу проти жертв у Німеччині в період з 2019 по 2021 рік. У рамках двох десятків атак зловмисники вимагали і отримали загалом близько 2 мільйонів євро, а сукупні економічні збитки перевищили 35 мільйонів євро.

Ім’я Щукіна фігурує також у поданні Міністерства юстиції США від лютого 2023 року щодо конфіскації криптовалютних рахунків, пов’язаних з доходами від діяльності REvil. Цифровий гаманець, пов’язаний зі Щукіним, містив понад 317 000 доларів у криптовалюті, отриманій злочинним шляхом.

GandCrab: піонери подвійного здирництва

Партнерська програма ransomware GandCrab вперше з’явилася у січні 2018 року. Вона виплачувала хакерам-партнерам значну частку прибутку за злам корпоративних мереж і акаунтів великих компаній. Команда GandCrab потім розширювала отриманий доступ, викрадаючи великі масиви внутрішніх документів. За час існування угруповання розробники випустили п’ять основних версій шкідливого ПЗ з новими функціями для обходу антивірусних рішень.

31 травня 2019 року GandCrab оголосив про припинення діяльності, заявивши, що вимагачі загалом здобули понад 2 мільярди доларів від жертв по всьому світу. Прощальне повідомлення групи містило цинічне вихваляння: «Ми — живий доказ того, що можна робити зло і залишитися безкарним».

REvil: еволюція в «машину для полювання на великих»

Партнерська програма ransomware REvil з’явилася приблизно одночасно з розпуском GandCrab. Її фронтменом став користувач під ніком UNKNOWN, який на одному з російських кіберзлочинних форумів продемонстрував серйозність намірів, розмістивши 1 мільйон доларів в ескроу. На той час більшість фахівців із кібербезпеки вже дійшли висновку, що REvil — це фактично реорганізований GandCrab.

В інтерв’ю аналітику Recorded Future Дмитру Смілянцю UNKNOWN описав своє життя у стилі «з багна в мільйонери»: «У дитинстві я рився в смітті і підбирав недопалки. До школи ходив 10 км пішки. Носив одні й ті ж речі шість місяців. У комунальній квартирі не їв два або навіть три дні. Зараз я мільйонер».

Як описано в книзі Рене Дадлі та Деніела Голдена «The Ransomware Hunting Team», REvil реінвестував значну частину злочинних доходів у розвиток і вдосконалення своєї інфраструктури, копіюючи практики легального бізнесу: залучав вузьких спеціалістів, наймав підрядників для окремих завдань — від обходу антивірусів до «відмивання» виплат через біткоїн-мікшери.

Угруповання перетворилося на потужну машину для атак на великий бізнес, зосередившись переважно на організаціях з річним доходом понад 100 мільйонів доларів, які мали страховки від кіберризиків з відомою готовністю до виплат.

Атака на Kaseya та крах REvil

4 липня 2021 року REvil атакував компанію Kaseya, яка обслуговувала IT-інфраструктуру більш ніж 1 500 підприємств, некомерційних організацій і держустанов. Пізніше ФБР повідомило, що на момент атаки агентство вже мало доступ до серверів угруповання, однак не могло розкривати цього публічно. Після того як ФБР випустило безкоштовний ключ розшифрування для жертв REvil, угруповання так і не оговталося від цього удару.

Хто такий Щукін і як його встановили

BKA припускає, що Щукін перебуває на території росії, у рідному Краснодарі, проте не виключає можливих переміщень за кордон. Прямих зв’язків між Щукіним та акаунтами UNKN на злочинних форумах порівняно небагато. Водночас аналіз даних, проіндексованих компанією Intel 471, свідчить про значний збіг між Щукіним та хакером на ніку «Ger0in», який керував великими ботнетами і продавав так звані «installs» — послугу масового розгортання шкідливого ПЗ на тисячах комп’ютерів одночасно. Втім, Ger0in був активний лише у 2010–2011 роках — задовго до появи UNKNOWN у ролі фронтмена REvil.

Додатковим підтвердженням особи слугує збіг фотографій: порівняння поліцейських знімків через сервіс Pimeyes знайшло відповідність з фото з вечірки 2023 року, де молодий чоловік на ім’я Даніель носить той самий дорогий годинник, що і на знімках BKA.

Ця стаття Поліція Німеччини розкрила особу лідера хакерського угрупування REvil: ним виявився 31-річний росіянин із Краснодара раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Дослідники виявили технічні зв’язки між GandCrab та іншою формою подібного програмного забезпечення – REvil – які дозволяють припустити, що обидві форми зловмисних програм мають одних і тих же авторів. REvil – також відомий як Sodinokibi – вперше з’явився незадовго до того, як GandCrab припинив свою діяльність. Нова програма стала одним з найвідоміших вимагачів 2019 року.

GandCrab була однією з найуспішніших родин вірусів-вимагачів протягом 2018 та 2019 років, її автори пропонували цю програму як послугу “блокування-розблокування в обмін на гроші”. У червні вони раптово оголосили, що припиняють діяльність, заявляючи, що заробили понад 2 мільярди доларів з моменту появи GandCrab в січні 2018 року, пише ZDNet.

Зараз дослідники безпеки в підрозділі протидії загрозам з компанії Secureworks детально розповіли про те, що вони вважають аргументами, які свідчать про те, що розробники GandCrab – яких вони називають GoldenGarden – також несуть відповідальність за REvil, який міг почати життя як нова версія GandCrab.

“Це, безумовно, можна довести завдяки деяким перекриттям коду з GandCrab, і там є навіть артефакти, які говорять про те, що він мав бути еволюцією GandCrab, і ми вирішили, що GandCrab, можливо. дозрів для відновлення та перезапуску”, –  сказав Рафі Пілінг, дослідник інформаційної безпеки в Secureworks.

Аналіз REvil виявив, що функції декодування рядків, використовувані REvil та GandCrab, майже ідентичні, що дозволяє припустити міцний зв’язок між двома формами викупного програмного забезпечення. REvil та GandCrab також поділяють функціонал побудови URL-адрес, який створює однакові шаблони URL-адрес для серверів команд та управління.

“Коли ми бачимо подібні речі, це говорить про те, що розробники явно ділилися кодом “, – сказав Піллінг.

Існує також доказ того, що код REvil спочатку був призначений для нової версії  викупного програмного забезпечення GandCrab, оскільки аналіз бета-версії REvil виявляє, що в коді є рядки, які, схоже, посилаються на GandCrab. До них відносяться “gcfin”, який, як вважають дослідники, означає “Фінал GandCrab”, і “gc6”, який, як вважають, означає GandCrab 6.

Оскільки ті, хто стоїть за GandCrab, який прославився за допомогою такої вдалої операції, заперечують подальшу діяльність, цілком ймовірно, що ці посилання на їхню оригінальну програму викупу є помилкою  з їхнього боку – але це дозволило дослідникам безпосередньо пов’язати REvil з тією ж групою.

На додаток до подібності коду, і REvil, і GandCrab містять у списку певні розкладки клавіатури, щоб не заразити машини, що використовують російську мову. Хоча це безпосередньо не пов’язує два центри управління операціями, але це дозволяє припустити, що вони базуються в одному регіоні.

Коли  група Gold Garden вимкнула GandCrab, він все ще проводив успішну операцію, і тільки нещодавно було випущено нову версію програмного забезпечення для протидії вільному інструменту розшифровки. Однак можливо, що зловмисники створили REvil для оновлення своїх операцій, прагнучи бути на крок попереду працівників правоохоронних органів та служб безпеки.

REvil вже став однією з найпопулярніших форм вірусів-вимагачів, і дослідники попереджають, що він повинен замінити GandCrab як поширену загрозу викупного програмного забезпечення.

Для обмеження збитків від цієї атаки, рекомендується регулярно створювати резервні копії своїх даних та періодично оновлювати системи для захисту від кібератак, які поширюються завдяки використанню старих уразливостей.

Нагадаємо, Google Play видалив два шкідливих додатки, які користувачі встигли завантажити їх як мінімум 1,5 мільйона разів. В описі популярних додатків Sun Pro Beauty Camera і Funny Sweet Beauty йдеться, що вони призначені для обробки фотографій. Однак виявилося, що у них є “незадекларовані” можливості. Додатки чомусь просять дозвіл на запис аудіо, і, що набагато гірше, на весь екран розгортають рекламу.

Також протягом останніх років Facebook працювала над розробкою окулярів доповненої реальності у своїх лабораторіях Facebook Reality в Редмонді, штат Вашингтон. Однак труднощі, які виникли під час розвитку проекту, змусили компанію шукати допомоги від фірм-виробників.

Окрім цього, Apple щойно випустила iOS 13, яка вже доступна для завантаження онлайн для користувачів iPhone. Якщо Вам не вдалося встановити довгоочікуване оновлення iOS з певних причини, дізнайтесь, як це виправити.

За словами дослідника з безпеки, відомого під псевдонімом @iBSparkes, йому вдалося зламати новеньку модель iPhone на базі процесора A13.

18-річний мешканець Івано-Франківської області поширював шкідливе програмне забезпечення для віддаленого керування ураженим комп’ютером. Відтак він отримував повний доступ до комп’ютера, включаючи конфіденційну інформацію користувача, логіни та паролі до усіх його облікових записів, а також онлайн-банкінгу.

Ця стаття Новий різновид вимагача GandCrab атакує комп’ютери у всьому світі раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Як мінімум одне китайське кіберзлочинне угруповання сканує Інтернет у пошуках серверів Windows з базами даних MySQL з метою їх зараження здирницьким ПЗ GandCrab. Примітно, що раніше ніхто з кіберзлочинців не намагався інфікувати установки MySQL на серверах Windows здирницькими програмами, і подібні атаки фіксуються вперше.

Нові атаки абсолютно випадково виявив старший дослідник компанії Sophos Ендрю Брандт (Andrew Brandt) в ході аналізу реєстрів. За словами дослідника, кіберзлочинці сканують Інтернет у пошуках доступних установок MySQL, які беруть SQL-команди, перевіряють, чи працює сервер під керуванням Windows, а потім за допомогою SQL-команд завантажують шкідливий файл, після виконання якого сервер заражається здирницьким ПЗ GandCrab.

Як правило, адміністратори захищають свої БД за допомогою паролів, проте зловмисники сканують Інтернет у пошуках незахищених або некоректно зконфігурованих баз даних. Як зазначив Брандт, завзятість кіберзлочинців вражає, однак, поки неясно, чи вдалося зловмисникам досягти успіху.

Також інсталяція чергового накопичувального оновлення може призвести до непрацездатності віртуального середовища Windows Sandbox – одного з головних нововведень в травневому оновленні Windows 10 May 2019 Update (версія 1903).

До речі, співробітники компанії Snap, що володіє великою соціальною мережею Snapchat, використовували свій доступ до внутрішніх інструментів для стеження за користувачами.

Нагадаємо, уразливість BlueKeep у службах віддаленого робочого столу може стати новим вектором для розповсюдження шкідливих програм. У разі використання уразливості кіберзлочинці зможуть отримати доступ до комп’ютера жертви без необхідних облікових даних або взаємодії з користувачем.

Якщо Вам потрібно запустити програму, але Ви не впевнені, що це безпечно, травневе оновлення для Windows 10 включає функцію пісочниці Windows, розроблену для такого роду завдань У цьому гайді з Windows 10 ми перейдемо до кроків для ввімкнення та початку роботи з функцією Windows Sandbox, доступною з оновленням у травні 2019 року.

Ця стаття Кіберзлочинці сканують Інтернет у пошуках серверів Windows раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин