Xakep #305. Многошаговые SQL-инъекции
ИБ-специалисты датского провайдера KPN применили синкхоллинг (sinkholing) к серверам шифровальщика REvil (Sodinokibi) и получили представление о работе одной из крупнейших на сегодня вымогательских угроз.
Напомню, что REvil работает по схеме "шифровальщик как услуга" (RaaS), то есть малварь сдается в аренду различным преступным группам. Из-за того, что группировок много, а также из-за высокой настраиваемости REvil, крайне сложно следить за всеми операциями шифровальщика и многочисленными партнерскими кампаниями по его распространению.
Однако экспертам KPN удалось применить синкхоллинг и перехватить сообщения, которыми зараженные шифровальщиком компьютеры обмениваются с управляющими серверами REvil. Исследователи пишут, что собрали уникальную информацию об операциях REvil, в том числе о количестве активных заражений, количество зараженных компьютеров на одну атаку и даже узнали порядок сумм, которые хакеры требуют у своих жертв в качестве выкупа.
Аналитики наблюдали за REvil около пяти месяцев и обнаружили более 150 000 уникальных инфекций по всему миру. Эти 150 000 зараженных машин оказались связаны лишь с 148 образцами REvil. Судя по всему, каждый из этих образцов представляет собой успешное заражение сети какой-либо компании. Причем некоторые атаки имеют огромный масштаб, шифруя более 3000 уникальных систем. Исследователи отмечают, что лишь некоторые из этих атак обсуждались в СМИ, тогда как многие компании о компрометации умолчали.
По информации KPN, за последние месяцы операторы REvil запросили выкупов на общую сумму более 38 000 000 долларов США, и в среднем вымогают у компаний-жертв 260 000 долларов США. В некоторых случаях сумма выкупа составляла 48 000 долларов США, что меньше среднего уровня REvil, но все же намного больше обычных 1000-2000 долларов США, которые требуют у домашних пользователей другие вымогатели.
Если REvil удается заразить несколько рабочих станций в сети компании, средняя сумма выкупа повышается до 470 000 долларов, а во многих случаях требования злоумышленников и вовсе превышали отметку в 1 000 000 долларов США.
Неясно, много ли скомпрометированных компаний согласились заплатить выкуп операторам REvil, но исследование KPN проливает свет на тот факт, что суммы, о которых ранее писали другие ИБ-эксперты, похоже, далеки от реальности.
Например, по данным компании Coverware, которая помогает жертвам восстанавливаться после атак шифровальщиков и иногда проводит переговоры о выкупе от лица жертв, в четвертом квартале 2019 года средний размер выкупа увеличился на 104% и составил 84 116 долларов США, по сравнению с 41 198 долларов США в третьем квартале 2019 года. Таким образом, операторы REvil вымогают у своих жертв куда больше, чем другие шифровальщики. Скорее всего, дело в том, что REvil ориентирован на компании и крупные корпоративные сети, но не на домашних пользователей.