Снаступлением весны и лета началась волна пресечения киберпреступности: правоохранительные органы и частные охранные компании проводят серию остановок, изъятий, предъявлений обвинений и арестов.
За последние шесть недель в результате скоординированных глобальных кампаний были изъяты, отключены или серьезно нарушены многочисленные программы по краже информации, загрузчики вредоносных программ, службы противодействия антивирусам и криптографам, торговые площадки для киберпреступности, инфраструктура программ-вымогателей и операции по заказным DDoS-атакам.
«Было очень волнительно наблюдать за объемом и скоростью этих ликвидаций за такой короткий период времени», — рассказал CyberScoop генеральный директор Flashpoint Джош Лефковиц.
«Не могу представить себе такого шквала и такой быстрой череды событий, которые затем усугублялись дополнительными ликвидациями Европола и международных партнёров», — добавил он. «Для хороших парней это были отличные пару недель, и я не удивлюсь, если на горизонте нас ждёт нечто большее».
Масштаб инфраструктуры, нарушенной правоохранительными органами и компаниями по кибербезопасности за последние несколько недель, огромен и охватывает десятки тысяч вредоносных IP-адресов и доменов, а также систем управления и контроля и учетных записей, используемых киберпреступниками для рекламы и инициирования своей незаконной деятельности.
К объектам ответных действий, выполнение которых затруднено или выведено из строя недавними действиями правоохранительных органов, относятся:
В совокупности эти действия направлены на экосистему, которая поддерживает наиболее эффективные кибератаки, рассказала CyberScoop Селена Ларсон, старший аналитик по угрозам в Proofpoint.
«Любое нарушение — это победа», — сказала она. «Я всегда так радуюсь любым нарушениям. Поэтому последние пару недель я просто в восторге».
Эксперты по безопасности заявили, что они воодушевлены тем, как частный сектор, ФБР, Интерпол, Европол и десятки стран объединяют ресурсы, обмениваются разведданными и сотрудничают в борьбе с киберпреступностью.
По словам Лефковица, международные правоохранительные органы и частный сектор часто извлекают информацию из одного рейда, которая открывает пути к следующему. «Достаточно одной крошки, чтобы получить повестку в суд или определить, на ком в сети следует сосредоточиться», — добавил он.
Власти также продолжают использовать тактику информационных операций киберпреступников, называя и стыдя предполагаемых заговорщиков, создавая и публикуя мемы, видеоролики и таймеры обратного отсчета, чтобы внушить страх и усилить давление на преступное подполье.
«Когда смотришь на то, как разрушаются сети доверия, особенно в ситуациях, когда участники никогда не встречались лицом к лицу, психологическая война может быть чрезвычайно мощной», — сказал Лефковиц. «Это действительно свидетельствует о том, что мировое правоохранительное сообщество внедряет более креативные и дальновидные механизмы реагирования на реалии ландшафта угроз, в которых мы работаем».
Кристофер Руссо, главный исследователь угроз в подразделении 42 компании Palo Alto Networks, заявил, что это также показывает, что власти становятся более искусными в совместной работе по разрушению завесы анонимности, за которой пытаются спрятаться киберпреступники.
«Каждый случай захвата вредоносного сайта не только напрямую влияет на работу нелегальных сервисов, но и раскрывает огромное количество данных о том, как работают эти сети и кто ими пользуется», — сказал Руссо. «Анонимность интернета и сомнительных сайтов не защитит злоумышленников от последствий их действий».
Хотя недавняя череда арестов привела к некоторым арестам, большинство участников этих преступных схем остаются на свободе.
Местная полиция Вьетнама, Шри-Ланки и Науру арестовала в общей сложности 32 подозреваемых в связи с их предполагаемой причастностью к операциям по краже информации в Азии.
Власти выдали международные ордера на арест 20 подозреваемых в рамках операции «Эндшпиль», а также 16 человек, обвиняемых в предполагаемой причастности к DanaBot, контролируемой российской киберпреступной организацией. У США нет договора об экстрадиции с Россией.
По словам Лефковица, достижение долгосрочного эффекта является постоянной проблемой в борьбе с киберпреступностью, особенно учитывая, насколько разбросанной, разнообразной и устойчивой является экосистема.
«Конечно, можно налагать издержки», — сказал он, — «и наложение издержек может иметь различные формы и способы», например, надевание наручников на предполагаемых преступников, арест инфраструктуры или средств, введение санкций или подрыв доверия между ключевыми игроками.
«Самый лучший возможный результат — это заковать злодеев в наручники», — сказал Лефковиц. «В противном случае их действия, безусловно, носят мощный и глубокий характер, и их, безусловно, не следует недооценивать».
Бретт Лезерман, помощник директора и ведущий сотрудник киберотдела ФБР, признал, что результаты технических операций не всегда являются постоянными.
«Возможно, мы не полностью искореним угрозу», — заявил он на пресс-конференции после того, как власти обезвредили Lumma Stealer. «Этого пока не наблюдалось ни в одной технической операции, но любой период простоя актёров приносит облегчение жертвам, и именно этого мы и добиваемся».
Киберпреступники, оставшиеся на свободе после разрушительных ликвидаций, часто перегруппировываются и возобновляют свои операции или присоединяются к другим синдикатам.
Однако долгосрочные последствия — последствия второго и третьего порядка — операций по борьбе с киберпреступностью не являются незначительными.
«Это не просто разрушение инфраструктуры, а её полное уничтожение, которое повлияло на ландшафт. Это вызывает волнения в теневой экономике и во всей экосистеме», — сказал Ларсон.
«Удар по репутации колоссальный, — сказала она. — Это наносит им огромный ущерб во многих, самых разных отношениях».
За последние шесть недель в результате скоординированных глобальных кампаний были изъяты, отключены или серьезно нарушены многочисленные программы по краже информации, загрузчики вредоносных программ, службы противодействия антивирусам и криптографам, торговые площадки для киберпреступности, инфраструктура программ-вымогателей и операции по заказным DDoS-атакам.
«Было очень волнительно наблюдать за объемом и скоростью этих ликвидаций за такой короткий период времени», — рассказал CyberScoop генеральный директор Flashpoint Джош Лефковиц.
«Не могу представить себе такого шквала и такой быстрой череды событий, которые затем усугублялись дополнительными ликвидациями Европола и международных партнёров», — добавил он. «Для хороших парней это были отличные пару недель, и я не удивлюсь, если на горизонте нас ждёт нечто большее».
Масштаб инфраструктуры, нарушенной правоохранительными органами и компаниями по кибербезопасности за последние несколько недель, огромен и охватывает десятки тысяч вредоносных IP-адресов и доменов, а также систем управления и контроля и учетных записей, используемых киберпреступниками для рекламы и инициирования своей незаконной деятельности.
К объектам ответных действий, выполнение которых затруднено или выведено из строя недавними действиями правоохранительных органов, относятся:
- Операция по краже информации Lumma Stealer , в результате которой было заражено около 10 миллионов систем
- Антивирусный сервис AVCheck и связанные с ним криптографические сервисы
- Операции DanaBot по борьбе с вредоносным ПО как услугой
- BidenCash , торговая площадка для киберпреступлений
- Операции по краже информации в Азии , в результате которых пострадало более 216 000 человек
- Сотни доменов и серверов, используемых несколькими ведущими штаммами вредоносного ПО
- Сайты DDoS-атак по найму
- Криптовалютные фонды связаны со схемой для IT-работников Северной Кореи
В совокупности эти действия направлены на экосистему, которая поддерживает наиболее эффективные кибератаки, рассказала CyberScoop Селена Ларсон, старший аналитик по угрозам в Proofpoint.
«Любое нарушение — это победа», — сказала она. «Я всегда так радуюсь любым нарушениям. Поэтому последние пару недель я просто в восторге».
Эксперты по безопасности заявили, что они воодушевлены тем, как частный сектор, ФБР, Интерпол, Европол и десятки стран объединяют ресурсы, обмениваются разведданными и сотрудничают в борьбе с киберпреступностью.
По словам Лефковица, международные правоохранительные органы и частный сектор часто извлекают информацию из одного рейда, которая открывает пути к следующему. «Достаточно одной крошки, чтобы получить повестку в суд или определить, на ком в сети следует сосредоточиться», — добавил он.
Власти также продолжают использовать тактику информационных операций киберпреступников, называя и стыдя предполагаемых заговорщиков, создавая и публикуя мемы, видеоролики и таймеры обратного отсчета, чтобы внушить страх и усилить давление на преступное подполье.
«Когда смотришь на то, как разрушаются сети доверия, особенно в ситуациях, когда участники никогда не встречались лицом к лицу, психологическая война может быть чрезвычайно мощной», — сказал Лефковиц. «Это действительно свидетельствует о том, что мировое правоохранительное сообщество внедряет более креативные и дальновидные механизмы реагирования на реалии ландшафта угроз, в которых мы работаем».
Кристофер Руссо, главный исследователь угроз в подразделении 42 компании Palo Alto Networks, заявил, что это также показывает, что власти становятся более искусными в совместной работе по разрушению завесы анонимности, за которой пытаются спрятаться киберпреступники.
«Каждый случай захвата вредоносного сайта не только напрямую влияет на работу нелегальных сервисов, но и раскрывает огромное количество данных о том, как работают эти сети и кто ими пользуется», — сказал Руссо. «Анонимность интернета и сомнительных сайтов не защитит злоумышленников от последствий их действий».
Хотя недавняя череда арестов привела к некоторым арестам, большинство участников этих преступных схем остаются на свободе.
Местная полиция Вьетнама, Шри-Ланки и Науру арестовала в общей сложности 32 подозреваемых в связи с их предполагаемой причастностью к операциям по краже информации в Азии.
Власти выдали международные ордера на арест 20 подозреваемых в рамках операции «Эндшпиль», а также 16 человек, обвиняемых в предполагаемой причастности к DanaBot, контролируемой российской киберпреступной организацией. У США нет договора об экстрадиции с Россией.
По словам Лефковица, достижение долгосрочного эффекта является постоянной проблемой в борьбе с киберпреступностью, особенно учитывая, насколько разбросанной, разнообразной и устойчивой является экосистема.
«Конечно, можно налагать издержки», — сказал он, — «и наложение издержек может иметь различные формы и способы», например, надевание наручников на предполагаемых преступников, арест инфраструктуры или средств, введение санкций или подрыв доверия между ключевыми игроками.
«Самый лучший возможный результат — это заковать злодеев в наручники», — сказал Лефковиц. «В противном случае их действия, безусловно, носят мощный и глубокий характер, и их, безусловно, не следует недооценивать».
Бретт Лезерман, помощник директора и ведущий сотрудник киберотдела ФБР, признал, что результаты технических операций не всегда являются постоянными.
«Возможно, мы не полностью искореним угрозу», — заявил он на пресс-конференции после того, как власти обезвредили Lumma Stealer. «Этого пока не наблюдалось ни в одной технической операции, но любой период простоя актёров приносит облегчение жертвам, и именно этого мы и добиваемся».
Киберпреступники, оставшиеся на свободе после разрушительных ликвидаций, часто перегруппировываются и возобновляют свои операции или присоединяются к другим синдикатам.
Однако долгосрочные последствия — последствия второго и третьего порядка — операций по борьбе с киберпреступностью не являются незначительными.
«Это не просто разрушение инфраструктуры, а её полное уничтожение, которое повлияло на ландшафт. Это вызывает волнения в теневой экономике и во всей экосистеме», — сказал Ларсон.
«Удар по репутации колоссальный, — сказала она. — Это наносит им огромный ущерб во многих, самых разных отношениях».
