Хакер #305. Многошаговые SQL-инъекции
Компании Anomali и Flashpoint обнародовали совместное исследование, посвященное настроениям, которые царят на андеграундных хакерских ресурсах в даркнете и в открытой части сети. Как оказалось, многие администраторы подобных сайтов считают, что распространение вымогательского ПО лишь вредит «бизнесу» и привлекает ненужное внимание к их платформам.
ИБ-специалисты приводят примеры и пишут, что на хакерских сайтах нередко обсуждаются такие известные вымогательские инциденты, как взлом Голливудского пресвитерианского медицинского центра (Hollywood Presbyterian Medical Center) в 2016 году, а также эпидемии малвари WannaCry и NotPetya. Как оказалось, администрация большинства изученных ресурсов крайне редко высказывается об этих случаях в положительном ключе. Причем аргументация от раза к разу используется одна и та же, эксперты приводят основные доводы преступников:
- вымогательское ПО привлекает слишком много внимания;
- вымогательское ПО может мешать другим видам киберпреступлений;
- вымогательское ПО может легко обернуться против России;
- вымогательское ПО может подвигнуть власти действовать более решительно и бороться с андеграундными ресурсами гораздо жестче.
Стоит отметить, что пункт про Россию появился в списке не случайно, дело в том, что эксперты Anomali и Flashpoint преимущественно изучали ресурсы, где собираются жители Восточной Европы и стран СНГ. Бытует мнение, что пока малварь не распространяется на саму страну проживания хакеров и не атакует ее жителей, им почти не о чем беспокоиться. А вымогательское ПО, по мнению злоумышленников, может легко выйти из-под контроля.
«Позволяя операторам рансомвари продавать ее на форуме, мы копаем могилу сами себе, — пишет в обсуждении неназванный пользователь. — Конечно, бан на форумах не прекратит такой бизнес, но сведет его к минимуму, и мы можем использовать неодобрение сообщества, чтобы даже войти в этот бизнес стало сложно».
Также киберпреступники отмечают, что операторы вымогательской малвари часто «одалживают» различные механизмы и техники у других вредоносов. В результате производителям становится известно об узявимостях, которыми пользуются и другие представители преступного мира, для этих проблем выходят патчи, компании и пользователи обновляют и закрывают ранее уязвимые сети, что плохо сказывается на операциях отнюдь не только вымогательского ПО.
По данным Anomali и Flashpoint, в настоящее время за запрет на распространение рансомвари выступает 48,5% андеграундного сообщества. Мы вряд ли увидим фактический бан в сколь-нибудь скором будущем, так как вымогательское ПО все же приносит огромные прибыли не только своим создателям, но и операторам подпольных площадок, на которых оно продается и размещается. Тем не менее, исследование наглядно демонстрирует, что хакерское сообщество не слишком одобряет атаки с использованием вымогателей и шифровальщиков, считая этот бизнес низким и опасным.
Напомню, что прецеденты введения подобных запретов все-таки были. Так, в прошлом году, после волны мощных DDoS-атак с использованием малвари Mirai, операторы крупного подпольного ресурса HackForums приняли решение полностью закрыть раздел DDoS-атак по найму. Тогда администраторы ресурса сообщили, что DDoS привлекает слишком много внимания.