Илья, привет, слышу хорошо.

На самом деле, над очень многим, но поскольку у нас сегодня тема «шифровальщики», стоит сказать, что шифровальщики — люди, которые занимаются этой активностью, — это все еще люди, они все еще пользуются инфраструктурой. И у нас есть такая уникальная технология, которая позволяет эту инфраструктуру автоматически выявлять, а также выявлять в последствии жертв, более глубоко исследовать, понимать, как эти атаки развиваются, и предотвращать их на более ранних этапах. Сейчас мы, конечно, очень много времени на это тратим, анализируя, кто и как это делает, и дальше ведем непрерывный мониторинг.

Их на самом деле много, но если вспомнить совсем далекие времена — есть два, которые хотелось бы выделить. Первое — это взлом регистратора доменных имен, очень интересный кейс. Там [злоумышленники] получили доступ к его базе данных и управлению этими доменными именами. В результате этой атаки угнали несколько очень дорогих доменных имен, на сотни тысяч долларов. Было здорово разобраться, как люди это сделали и кто за этим стоял. Там полный набор всевозможных действий был, а самое главное — это было одно из первых тяжелых расследований, которое нам позволило очень сильно прокачать свои компетенции. Работа с регистраторами помогла узнать очень много на тот момент.

Другие кейсы можно объединить: это расследования всего, что связано с банковскими троянами в России. Потому что после того, как мы этим занялись, такая сущность, как банковские трояны, атакующие физических и юридических лиц в России, прекратила свое существование. И здесь, конечно, большая заслуга Group-IB и команды, которая нас внутри поддерживала.

Безусловно. Без них точно ничего бы не случилось.

Это отчет про основные тренды, которые мы наблюдали в течение года, а самое главное — эти знания мы используем для того, чтобы делать прогнозы о трендах, которые увидим в будущем.

Ну и, собственно, зачем его читать: для того, чтобы знать, с какими проблемами сталкиваются в разных регионах разного типа компании, и использовать эти знания для защиты именно от них. Но сейчас одна из основных проблем заключается в том, что люди защищаются от тех рисков, которые уже абсолютно не актуальны. Иногда даже тратят очень много денег на то, чтобы от этого защититься, но в принципе строят защиту вчерашнего дня.

Для кого это отчет: прежде всего для руководителей бизнеса, которые хотят сделать так, чтобы их бизнес функционировал непрерывно и какие-то кибератаки, даже не от суперпрофессиональных хакеров, не могли его остановить. Это первое. Второе — безусловно, для всех, кто занимается информационной кибербезопасностью, как практической, так и теоретической. В отчете очень много разного контента, который позволяет им это делать. Для более низкоуровневых специалистов, которые занимаются киберразведкой, трендхантингом, реагированием на инциденты, там, конечно же, очень много знаний, которые помогут им делать свою работу на более высоком уровне.

Здесь двоякая ситуация. С одной стороны, мы очень часто видим случаи, когда владельцы бизнеса прекрасно начинают понимать, с чем они могут столкнуться, и спускают эти материалы на уровень ниже, чтобы люди взяли это в работу и воплотили необходимые меры безопасности в жизнь. Но где-то на этом уровне все теряется. Просто потому, что в некоторых компаниях работают, скажем так, не очень квалифицированные кадры или они загружены другими задачами и это для них является оправданием.

Либо обратная ситуация: технические специалисты прекрасно знают, что делать, как делать и самое главное — почему, но в некоторых случаях не находят поддержки от руководства компании. И, конечно, этот рассинхрон приводит к тому, что идея есть, знания есть, даже инструменты готовые есть, но нет поддержки бизнеса — нет безопасности.

Я поделю их по секторам. Угроза номер один, которая касается абсолютно всех, — не важно, государственная это компания, объект критической инфраструктуры, малый и средний бизнес или огромная транснациональная компания, — это шифровальщики. И это одна из причин, почему мы сегодня здесь и рассказывать будем чуть дальше именно о них.

Угроза номер два — это то, что влияет на стабильность инфраструктуры в отдельно взятой стране: доступность интернета, непрерывность транспортной системы и тому подобное. То есть такие критические объекты, атака на которые может привести к сценариям, которые принято называть «сценариями судного дня». Это угрозы, исходящие из очень узконаправленной группы хакеров — так называемых «проправительственных групп хакеров».

И третье — это более массовый рынок. Сюда может попасть ритейл, любые e-commerce-сайты, которые будут сталкиваться с простыми угрозами, тем не менее наносящими очень большой ущерб. Это атаки со стороны ботов, скрейпинга, различного рода мошеннические схемы. Ну и поскольку мы в России, здесь угроза номер один для подобного рода компаний — это социальное мошенничество. Когда клиентам звонят, разводят, крадут деньги под разными предлогами и так далее. Я думаю, все в интернете уже много про это прочитали и, возможно, даже сами столкнулись с этой проблемой.

Если говорить про веб-скрейпинг — это просто автоматизированный сбор данных с веб-сайта. Звучит не очень страшно, но на самом деле все данные, которые доступны в ваших защищенных и незащищенных порталах, — это ваша интеллектуальная собственность. Значит, если кто-то автоматически собирает ее — он крадет вашу интеллектуальную собственность, получая конкурентные преимущества. А еще он может это делать с кучи других сайтов, аналогичных вашей сфере деятельности. Допустим, вы занимаетесь подбором персонала, и мы смотрим, что есть группа, которая собирает данные в автоматизированном режиме с разных порталов по размещению вакансий или резюме. По факту она крадет интеллектуальную собственность этих компаний, а дальше перепродает ее на сторону. Соответственно, компании теряют деньги, а те получают конкурентное преимущество, потому что в их ресурс попадают данные из разных источников и у них становится больше данных, хотя они получены нелегальным способом.

А Java-снифферы — это вредоносный код, который встраивается в веб-сайт. Его очень сложно обнаружить, и при этом он может производить самые разные действия. Но, как правило, они собирают логины и пароли, данные платежных карт, которые вы вводите в момент совершения онлайн-покупок на e-commerce-сайте. Таким образом можно похитить деньги, продать данные вашей банковской карты либо воспользоваться вашими логинами и паролями для совершения каких-то других действий. Естественно, это тоже огромная проблема, потому что уязвимых сайтов в интернете очень много и везде, где есть возможность установить такие Java-снифферы, они, как правило, ставятся.

У нас там описаны военные операции, которые мы наблюдали в разных регионах. Это и есть знания: когда мы не ждем, пока что-то случится у нас, а потом постфактум реагируем, а можем наблюдать за тенденциями в разных регионах, понимать, что случается там, и готовиться к этому здесь. В отчете мы описывали атаки на критическую инфраструктуру. Прежде всего это энергетика, атомная энергетика. В этом году мы видели атаки в Южной Корее, в Индии, которые в том числе приводили к остановке атомных реакторов. Мы описывали, кто и как это делал и почему мы считаем важным об этом рассказывать.

Конечно, это не только энергетика — сюда может попадать химическая промышленность, сюда же относятся атаки на системы водоочистки. И такие атаки мы тоже видели: в прошлом году они случились несколько раз в Израиле.

В качестве ответной реакции мы видели целую серию инцидентов, которые в том числе приводили к физическому уничтожению объектов критической инфраструктуры на Ближнем Востоке. Например, остановка морских портов — была перекрыта целая транспортная артерия. Ну а если мы говорим про Россию и про то, к чему надо готовиться, — здесь чаще всего мы видим китайские проправительственные группы, атаки на разные объекты. Как правило, их основная задача — это шпионаж, без таких серьезных последствий, как уничтожение объектов или влияние на какие-то физические процессы. Тем не менее, мы понимаем, что к этому нужно готовиться, потому что если инфраструктура уже скомпрометирована и кто-то получит команду о переходе в более активную фазу, то у них такая возможность будет. Здесь очень важно подготовиться и сделать так, чтобы это невозможно было осуществить.

Я не то что верю — я знаю, что это рано или поздно случится. Потому что любая операция, которая приводит к остановке или разрушению, требует фазы подготовки. Именно фаза подготовки и сопровождается этой разведывательной операцией, когда кто-то должен сначала получить доступ к объектам, понять какой софт, какое оборудование на этих объектах инфраструктуры используется, какие есть процессы, как именно они работают, каким образом осуществляется процедура восстановления, кто может влиять на быстрое реагирование и восстановление в случае аварийных сбоев. Этот этап разведки мы наблюдаем сейчас. Единственное, что удерживает атакующих от перехода в активную фазу, — это и есть получение подобной команды. Потому что сами, инициативно, они, видимо, это делать не могут. Надеюсь, что мы со многими будем оставаться в дружественных отношениях, но сейчас это, вроде, не так.

Безусловно, да. Об этом говорят исследования очень многих организаций, которые в том числе занимаются анализом кибератак, их атрибуций, поэтому, судя по всему, да.

Потому что очень сложно их обнаружить. Для того, чтобы подобного рода операцию обнаружить, потом правильно исследовать и атрибутировать, необходимы технологии и люди, которые обладают нужными знаниями, а также желание и возможность реагировать на такие инциденты. Поскольку большая часть атак осуществляется за рубежом, если у нас есть страна «А» и страна «Б» и страна «А» атакует страну «Б», то реагирование на инцидент должно происходить в стране «Б». И если источником атаки является страна «А», то вряд ли кто-нибудь из пострадавших захочет привлечь компанию, которая находится в стране «А». Давайте в таких абстракциях пообщаемся.

Что происходит: какие-то компании взламываются и атакующему удается получить полный контроль над их инфраструктурой. Этот контроль позволяет ему удалить все резервные копии, остановить какие-то процессы, прежде всего похитить данные, а потом еще зашифровать то, что остается на компьютерах и серверах компании.

Почему некоторые недооценивают? Я бы сказал так: за рубежом все уже достаточно испугались и принимают эту угрозу как наиболее критичную. В России это не так. Причин несколько: основные группы, которые занимаются подобного рода атаками, стараются в России свою деятельность не вести, а атакуют именно компании, находящиеся в Европе, США или в любых других регионах, хотя Европа и США являются одними из наиболее атакуемых. Но есть группы, которые специализируются именно на атаках в России. Здесь им, видимо, удобно подбирать жертв, они хорошо знают, как атаковать российский бизнес, ну и у них, видимо, нет рисков, что они будут здесь быстро идентифицированы и арестованы.

Чтобы чуть больше контекста дать, давайте проговорим в принципе про программы-шифровальщики и как эти группы организованы.

Есть два основных типа. Первое — это то, что работает по принципу партнерской программы: есть уже хорошо состоявшаяся группа, они разработали программу, которая позволяет шифровать, у них есть системы, которые генерируют эти вредоносные программы, уникальные под каждого клиента, и у них есть порталы, на которых можно взаимодействовать с пострадавшей компанией, предоставить какие-то расшифрованные данные, сэмплы, вести чаты, торговаться. Еще есть накрутка, точнее, то, что принято называть счетчиком: если вы не платите вовремя — стоимость выкупа увеличивается. Они всю эту инфраструктуру, сервис и распределенные сети хранения данных предоставляют, поэтому могут привлекать множество партнеров и атаковать компании в самых разных регионах, в больших объемах. Естественно, есть те, кто качественно отбирает партнеров, то есть их очень мало, но они все проверенные и высокопрофессиональные. Такие, как правило, фокусируются на высокоприоритетных больших компаниях, которые готовы сразу заплатить несколько миллионов долларов. А есть наоборот те, кому без разницы, кого атаковать, — главное, чтобы было много. Ценник может быть не очень большой, но при этом пострадавших будет много, и оборот у этих групп тоже очень внушительный.

А есть совсем другая группа. Они, скажем так, сами по себе: сами разработали софт, сами атакуют, сами его используют — все делают в одиночку. При этом у них нет никаких хорошо известных имен, они не афишируют свою деятельность на хакерских форумах, не публикуют данные, которые доступны всем. И они совсем по-другому ведут переговоры с пострадавшими компаниями. Вот про их активность известно меньше всего. Что характерно, компании в России атакуют именно такие —те, кто не афиширует свою активность. Поэтому про инциденты очень мало известно. Если мы возьмем все, что происходит не в России, — данных предостаточно. Они активно публикуют сведения, похищенные из компании, называют бренды, которые были атакованы, и поэтому журналисты и все остальные — прежде всего специалисты по безопасности — узнают о таких пострадавших компаниях.

Как в основном они проникают: все зависит от группы. Потому что у каждой есть свои предпочтения. Но основных метода все равно два. В России наиболее распространен целевой фишинг, который доставляется по почте: фишинговые письма с вредоносным вложением. Люди шлют целенаправленно эти вредоносные письма в нужные компании до тех пор, пока не добьются желаемого результата — заражения. И здесь, даже если вы заблокировали первые 5-10 попыток — это не означает, что атакующий остановится. Он будет продолжать, модифицируя свои техники. Вторая категория — это люди, которые сканируют внешний периметр больших компаний, находят там уязвимые сервисы (чаще всего это уязвимые PPM-решения) либо занимаются простым перебором паролей, которые они берут из утекших баз данных с каких-то сторонних сайтов. Таких очень много: либо перебор паролей к терминальным серверам, либо серверам RDP, Vinci, но чаще всего это все-таки RDP и VPN. Это то, что мы наблюдаем. Подавляющее большинство инцидентов, например, в Штатах, связано со сканированием уязвимости во внешних сервисах — это не фишинговые письма. В России картинка обратная, но тем не менее одно другого не исключает. Мы все равно видим инциденты, в том числе когда хакеры получают первоначальный доступ, эксплуатируя или подбирая уязвимости VPN в софте либо подбирая пароль к терминальному серверу, просто таких инцидентов чуть меньше.

Но защищаться нужно от обоих случаев. Что это значит? В случае с фишинговыми письмами самый простой способ, которым все привыкли защищаться, — это песочница, но она достаточно легко обходится. Мы на своей практике прекрасно понимаем, как это реализовано, и самое главное — хакеры знают, как это обходить. Поэтому нужен чуть более совершенный класс решений, который мы у себя называем Malware Detоnation Platform (подробности тут: https://www.group-ib.ru/brochures/Group-IB_THF_Datasheet_Polygon.pdf). Его основное отличие в том, что он принуждает вредоносный код исполнить вредоносный эффект. Это сильно повышает вероятность детекта и, самое главное, достает нужные индикаторы, которые в том числе можно использовать для предотвращения последующих атак. То есть там все сильно сложнее.

В случае с тем, что эксплуатируются уязвимости, есть такое понятие, как shadow IT, или теневая IT-инфраструктура. Все обычно говорят: «Мой периметр — это один, два, три IP-адреса или подсети, я их и так их все сканирую (либо вообще не сканирую) и отслеживаю, есть ли там уязвимые сервисы». Но, как показывает практика в больших компаниях, маркетологи вдруг решили поднять новый лендинг на каком-то сервере, который имеет доступ в инфраструктуру, либо какое-то техническое подразделение, разработчики что-то вывесили наружу — и опять это не попало в объект сканирования. Большой проблемой является нахождение этой теневой IT-инфраструктуры, ну и быстрая проверка, уязвима она или нет, потому что хакеры именно так и действуют. Они сканируют всю глобальную сеть, находят там потенциальные серверы, которые можно атаковать, выбирают из них наиболее приоритетные и дальше на них фокусируются: либо эксплуатируя уязвимости, либо подбирая пароли. Примерно такую же деятельность должны вести и специалисты по безопасности, чтобы эту инфраструктуру выявлять и защищать до того, как она будет успешно атакована.

Самое первое, что нужно точно сделать, — это позвать специалистов, которые вам помогут на этот инцидент отреагировать. Наверное, одна из самых частых ошибок — когда люди пытаются решить проблему самостоятельно. Это приводит к еще большим проблемам, в том числе к увеличению ценника, который от них по итогу потребуют. Нужно платить или нет — здесь должны ответить специалисты, которые приедут на это реагирование, потому что это зависит от того, были ли данные действительно зашифрованы. Есть группы, которые мимикрируют под шифровальщиков или симулируют их действия. По факту у них программа либо не шифрует данные, а просто их удаляет — это означает, что их можно восстановить, либо пошифрует, но так, что все равно можно восстановить ключи шифрования и, опять же, вернуть работоспособность компании без взаимодействия с хакерами.

Если же вариантов нет и вы понимаете, что нет резервных копий, восстановить зашифрованные данные никак не получается и они действительно зашифрованы, понимаете, что бизнес стоит и уже теряет деньги, то, наверное, общая рекомендация все же заплатить. Так как приоритет номер один — это непрерывность бизнеса.

Хотя по факту это является финансированием и поддержкой киберпреступности и мотивирует атакующих на продолжение своей деятельности. Поэтому во всех случаях, когда можно не платить, нужно к этому стремиться. Не платить даже в тех случаях, когда это стоит дороже, чем просто заплатить. Но повторюсь: бизнес важнее, и если вариантов других нет, то мы рекомендуем оплату сделать и вернуться к нормальной работе. И опять же, без реагирования никак, потому что нужно разобраться, что именно случилось, как проникли в сеть, как получили полный контроль над структурой, какие есть бреши в системах контроля и так далее. Здесь нужны эксперты, которые это сделают. Самое главное — независимые эксперты, потому что, как правило, внутренние службы сильно зависят от работодателя и будут стараться переложить ответственность на какое-то соседнее подразделение, и это тоже приводит к неправильным выводам.

Ну, во-первых, в курсе ли моя служба безопасности про такую угрозу, как шифровальщики. Обязательно нужно спросить, знают ли они, как эти группы атакуют другие организации, как получают первоначальный доступ и какие меры безопасности уже реализованы для того, чтобы бороться и с угрозами в почте, и с угрозами на внешнем периметре. Дальше обязательно нужно выяснить, что же все-таки происходит с резервными копиями. Потому что это то, что позволит вам восстановить бизнес в случае, если атака все-таки произойдет и данные будут зашифрованы. И еще узнать, как ограничивается доступ к резервным копиям, потому что, как правило, если компьютер IT-специалиста скомпрометирован, то про резервные копии можно забыть, потому что у него обычно есть доступ к ним и он может их удалить. Поэтому про безопасность резервной копии тоже надо интересоваться.

Это крутая тема. Потому что, наверное, самое важное, что можно делать в рамках подготовки, — это обучение своих внутренних команд. Провести некие учения. Pre-IR Assessment означает, что приезжает некая команда специалистов, которая уже хорошо разбирается в предметной области, и она проверяет, как настроена система безопасности, как выстроены внутренние процессы, не скомпрометирована ли ваша организация уже, потому что такое тоже бывает (просто инцидент еще не в самой активной фазе). И отвечает на все эти вопросы. Это позволяет готовиться к инцидентам заранее, а не ждать, пока совсем прижмет.

Это совсем разные истории. В случае с Red Teaming они непрерывно тестируют, насколько вы защищены, используя те же самые техники, которые применяют хакеры. Но это еще зависит от того, кто является red team-командой. Если это обычные пентестеры, то они отлично разбираются в своей предметной области, но не всегда хорошо понимают, как сейчас действуют атакующие. Поэтому если твой IR-тимер еще знает про то, как работают разные реальные группы и имеет возможность симулировать их активность — это прям круто. Но повторюсь: это такой непрерывный процесс, и в его задачи не входит, например, выяснение того, являетесь ли вы скомпрометированной организацией. В их задачи не входит выяснение того, все ли контроли у вас работают правильно, правильно ли построен у вас процесс. Их задача — непрерывно тестировать и, самое главное, пробивать и периодически репортить о том, что им удалось проникнуть в сеть и достичь того результата, который оговаривается на берегу.

Если мы быстро выявили угрозу — ущерба нет. Инцидента не будет, вас не пошифруют либо ваши данные не украдут. А это тоже зависит от разных факторов. Если компания — наш клиент, и, соответственно, она на постоянном мониторинге, то у нас не будет инцидента. Так показывает сейчас наша статистика. Ни один клиент, который стоит у нас на защите, от программ-шифровальщиков не пострадал. Потому что нужные технологии и знания у нас есть.

Другая, более проактивная история, над которой мы сейчас работаем, — это когда мы отслеживаем инфраструктуру и ищем цели, то есть компании, которые атакованы разными группами. Естественно, мы тут тоже проактивно работаем, бесплатно всех уведомляем, говорим о том, что они столкнулись с проблемой. Но здесь есть вторая часть: после того, как мы оповестили компанию о том, что ее атакует определенная группа, специализирующаяся на промышленном шпионаже или на шифровании данных и вымогании денег, не все компании реагируют адекватно. Некоторые просто игнорируют эту информацию, а некоторые говорят:

— Вы знаете, мы все проверили, у нас нет угрозы.
— Ну как нет? Мы же видим, что она есть. Атакующий по-прежнему находится в вашей сети. Перемещается, данные сливает.
— Да нет, мы просканировали антивирусом, он ничего не нашел.

Это частый ответ, который мы слышим от разного рода специалистов в разных странах. Поэтому это тоже такая проактивная работа, когда мы заранее, а самое главное — бесплатно, уведомляем компанию о том, что она стала жертвой атак. Хотя выявить такие компании достаточно тяжело. У нас видимость большая — мы видим сотни, иногда тысячи компаний в день, которые были атакованы — но быстро найти контакт нужной организации достаточно тяжело. Тем не менее мы такую работу тоже проактивно ведем.

Когда инсайдеры сливают доступ — есть, и это, как правило, достаточно легко обнаруживается, опять же, за счет мониторинга того, что происходит на хакерских форумах. Кому-нибудь предлагают этот доступ, то есть они как не совсем продвинутые специалисты приходят на те же хакерские форумы, регистрируются и под различными предлогами начинают предлагать доступ либо какие-то данные компании. Это мы тоже выявляем проактивно и видим достаточно много и часто. Но люди, которые профессионально занимаются несанкционированным доступом и последующим шифрованием, нечасто обращают внимание на подобного рода объявления, потому что в некоторых случаях это является ловушкой со стороны служб безопасности правоохранительных органов, которые хотят проверить, какая будет реакция со стороны хакерского сообщества, если они такие сообщения начнут публиковать. Поэтому к этому относятся очень аккуратно и большинство хакеров либо работают давно с хорошо проверенными партнерами и такие забегающие персонажи их не интересуют, либо это группа, которая находится сама по себе, работает без партнеров, ну и соответственно, тоже не общается с подобного рода людьми. Потому что уязвимых компаний очень много: я бы сказал, что у атакующих просто не хватает рук для того, чтобы их все отработать. И еще одно предложение про «готов продать доступ» малоинтересно.

Взламывать хакеров, я думаю, не этично. Вообще взламывать кого-либо не этично. Мы — компания, которая борется с киберпреступностью, поэтому поддерживать ее даже таким неформальным образом будет неправильно. Хотя это зависит прежде всего от законодательства, потому что в разных странах мы видим, например, что правоохранительным органам разрешено взламывать инфраструктуру атакующих. Причем именно взламывать: не получать копии серверов по запросу от правоохранительных органов, а проводить кибератаки. Такое тоже есть. Это зависит от страны.

Здесь есть еще один маленький нюанс, на котором я бы хотел акцентировать внимание. Взламывать неправильно, но что мы делаем? Мы наблюдаем за серверами, которые используют атакующие, проверяем, правильно ли они настроены. Потому что в некоторых случаях нам удается получить информацию о скомпрометированных компаниях, о логинах и паролях, которые были перехвачены с помощью вредоносного кода, не потому что мы занимаемся взломом, а потому что логи лежат «в открытом доступе», если ты знаешь путь этих логов. Это, конечно, тоже позволяет очень много инцидентов предотвратить. Такую работу мы тоже будем проводить и делиться этими данными с правоохранительными органами, чтобы они могли идти еще дальше и расследовать эти инциденты.

Я категорически с этим не согласен. Мы работаем с российскими правоохранительными органами именно по теме расследований и видим, что они активно это делают. И находят этих хакеров, и сажают, и арестовывают. Они, наверное, не так активно это пиарят, как международные правоохранительные органы. И этому есть логичное объяснение. С каждым хакером, которого они задержали, дальше начинается дополнительная работа: он дает показания, рассказывает о своих партнерах, подельниках и так далее. И если вдруг быстро выпустить информацию в СМИ о том, что этот человек был задержан, — все его партнеры быстро начнут предпринимать меры противодействия, чтобы до них не добрались, а если даже и добрались, то чтобы никакой доказательной базы на них уже нельзя было найти. Поэтому такие расследования часто не афишируются, но тем не менее они проводятся регулярно, и это очень положительно сказывается на безопасности огромного количества граждан России.

Предугадать точно можно было. Потому что supply chain-атаки — это не что-то новое. Все сообщество по безопасности видело их и раньше. Вопрос был лишь в том, кто будет следующей жертвой. И предотвратить, безусловно, тоже можно было. Как минимум сейчас они неким образом отреагировали на инцидент, и они знают, как именно получили доступ, как модифицировали их программный код и внедряли эти вредоносные импланты в иллегальный софт. Поэтому сейчас такой опыт, конкретно у SolarWinds, в результате на реагирования на инцидент появился. Компании, которые помогали им в разборе инцидента, тоже понимают, как это работает. Но главное — чтобы это послужило хорошим уроком всем остальным, кто занимается не только разработкой, но и поставкой программного обеспечения либо программ аппаратного обеспечения в другие компании. Потому что они все тоже являются потенциальным объектом для атаки — для того, чтобы втихую, очень незаметно доставлять очень критичный и опасный либо менее критичный и опасный вредоносный код, в том числе в сегменты, которые могут быть изолированными.

Ну как? Мы не приемлем хакеров. Поэтому мы крайне негативно к нему относимся, но тем не менее будем продолжать исследовать активность таких хакеров, то, как они атакуют, кого атакуют, для того, чтобы собирать нужную информацию для обогащения собственных систем безопасности, ну и, собственно, для защиты наших клиентов.

Наверное, когда мы говорим про шифровальщиков, очень важно сказать про рынок, который они создали. Потому что здесь история не заканчивается на том, что ограниченное количество хакеров, вдруг раз — и начинает шифровать данные компаний. Они реально создали целую экосистему, которая очень сильно подстегнула вообще все хакерское сообщество.

Одним из важных направлений является продажа доступов в корпоративной сети. Потому что раньше кто-то там взламывал компании, получал доступ к их терминальным серверам либо ко всей инфраструктуре, но у них была проблема сбыть этот доступ, заработать много денег. А сейчас такие специалисты стали резко востребованы, потому что они все получили работу от таких вот групп, которые занимаются шифрованием. И они начали вести свою деятельность активнее. Гораздо больше объявлений о продаже доступов либо о продаже данных мы выявили на хакерских форумах, и, соответственно, это еще больше подстегивает других хакеров, в том числе начинающих. Видя, что здесь люди зарабатывают сотни тысяч долларов в месяц, они думают, почему бы и им не попробовать. И они тоже начинают заниматься этой активностью.

Это приводит к тому, что на горизонте в ближайшие несколько лет мы точно будем видеть, что таких проблем станет еще больше. Не буду говорить, насколько больше, но очевидно, что здесь тенденции к снижению точно никакой нет. Это если касаться массовых угроз.

Другое направление — это JS-снифферы (JS‑снифферы — это несколько строк кода, который внедряется злоумышленниками на сайт для перехвата вводимых пользователем данных: номеров банковских карт, имен, адресов, логинов, паролей и т.д.). Сейчас это большая, но при этом мало изученная область. Очень мало компаний, которые в принципе рассказывают про эту угрозу. Вообще это только мы и еще одна американская. Не буду ее называть, но тем не менее она тоже делает хорошую работу. Что хочется здесь выделить: например, в финансовом секторе все беспокоятся про банковские трояны, про PoS-трояны, которые поражают платежные терминалы, перехват данных банковских карт, а на самом деле JS-снифферов, их семейств и людей, которые их используют, уже в разы больше, чем всех банковских троянов под Android и под персональные компьютеры вместе взятые. И это направление развивается гораздо активнее.

Одна из северокорейских проправительственных групп Lazarus в том числе использует Java-снифферы для того, чтобы воровать криптовалюту. И это тоже хорошая сфера, где киберпреступность развивается и будет продолжать развиваться. И, наверное, последнее, если мы еще больше будем сужать воронку — это все, что связано с атаками на критические инфраструктуры. Сейчас есть огромнейшая проблема, что мало кто пишет про эти атаки, несмотря на то, что они происходят, а еще меньше тех, кто умеет их исследовать и анализировать. Потому что все считают, что, раз их система безопасности молчит — значит, атаки нет. Это самое большое заблуждение. Просто не умеют их детектировать, а они еще не перешли в ту стадию, когда становятся заметными: когда это не приводит к каким-то аварийным ситуациям, но тем не менее доступ уже получен, инфраструктура скомпрометирована, и в какой-то момент ею воспользуются. Вот таких инцидентов мы увидим сильно больше, потому что атаковать станут в разы больше.

Мы наблюдаем, что индустрия безопасности начинает инвестировать в эту область все больше денег и усилий. Сильно увеличивается процент детектирования, ну и, соответственно, чуть больше репортов и отчетов мы в будущем увидим, и сложится ощущение, что количество инцидентов сильно растет, хотя, скорее всего, оно останется примерно на том же уровне, просто рассказывать об этом будут чаще.

Я не читаю то, что происходит в интернете, меня нет в социальных сетях, за исключением LinkedIn, а там шутки не пишут.

Почему стоит присоединяться? Да потому что у нас немерено реально интересных задач. От отслеживания хакерской активности, документирования, расследования деятельности хакеров, исследования техник, инструментов, разработки новых алгоритмов детектирования. Короче говоря, вакансий действительно много, и мы ищем людей в разных странах.

Наверное, некоторые потенциальные кандидаты опасаются, что они не пройдут из-за отсутствия профессиональных навыков, но мы очень активно учим людей, причем учим внутри. Если посмотреть на историю Group-IB — компания возникла с нуля, не было готовых специалистов ни по форензике, ни по расследованию инцидентов. Мы все это поднимали с нулевого уровня. Поэтому мы по-прежнему продолжаем людей нанимать, главное — чтобы у человека было большое желание бороться с киберпреступностью, потому что это ДНК Group-IB, это одна из основных идей, которая пронизывает каждого сотрудника здесь.

Если ты хочешь бороться с киберпреступностью — приходи к нам, мы дадим тебе все необходимые возможности и не важно, каким опытом ты на текущий момент обладаешь. Если ты уже готовый специалист — прекрасно, мы дадим тебе команду, которую ты сможешь возглавить. Если ты начинающий специалист — значит, мы тебя встроим в уже существующие команды, обучим всему, дадим необходимые инструменты для того, чтобы ты эффективно боролся с киберпреступностью.

А ищем мы разработчиков, специалистов по реагированию на инциденты, реверс-инженеров, различного рода аналитиков, threat-хантеров и так далее. У нас куча вакансий, все они опубликованы на сайте, а даже если вы не находите что-то под себя — все равно пишите нам. Возможно, у вас есть прекрасные идеи, и мы поймем, что вам можно доверить что-то совершенно новое, о чем мы пока еще на сайте не пишем, но все равно людей набираем.

Первое — вы должны желать бороться с киберпреступностью и менять мир к лучшему. Ну и, как правило, для работы со мной нужно обладать техническими навыками. Требования, конечно же, самые разные, в зависимости от того, на какую вакансию вы претендуете. Компьютером надо уметь пользоваться.

Тестировщиков мы ищем, и ищем активно, на разные проекты. Пентестеров ищем, аудиторов ищем, фронтэнд разработчиков ищем — здесь у нас, наверное, все возможные вакансии, которые существуют на рынке информационной безопасности и разработки. Они у нас открыты, так что приходите.

Ну естественно, направление надо все-таки выбрать. А я бы, наверное, выделил одно из наиболее интересных в будущем — сейчас оно не настолько актуально —это безопасность оборудования, hardware security. Потому что за этим будущее. Экспертиза нужна достаточно высокая. Есть, безусловно, специалисты, но их очень мало, они все разобраны и стоят просто супердорого. Поэтому если вы хотите вакансию будущего — я бы копал в этом направлении. Но в любом случае с этим вы сразу не разберетесь, потому что нужно получать какой-то базовый опыт, прежде чем начать увлекаться hardware security. Поэтому это, наверное, направление номер один, и копайте туда.

У нас есть девушки, которые реагируют на инциденты, компьютерные криминалисты, девушки, которые занимаются расследованиями, и девушек-аналитиков у нас тоже много.

Мы расследуем любые преступления не важно, кто за ними стоит. Если пострадавшая компания готова идти до конца, мы будем заниматься этим делом.

Мы занимаемся техническим исследованием, подробно изучаем и исследуем, как преступная группа работает, что использует для атак, какими техниками пользуется. Детально разбираем весь набор вредоносных программ, определяем их инфраструктуру, ищем псевдонимы, онлайн-контакты, определяем партнеров. Весь этот набор данных позволяет выйти на конкретных лиц, стоящих за атакой и их местонахождение.

Наши соглашения с международными правоохранительными органами позволяют им принять от нас данных о хакерах и на основании этих материалов начать собственное расследование, в рамках которого все наши находки проверяются и дополняются данными, которые могут получить правоохранительные органы. На протяжении всего расследования и судебного разбирательства наши технические специалисты оказывают техническую и экспертную поддержку.

Мы не даем советов о том, как проводить атаки или нанести максимальный ущерб, даже с учетом того, что ваш вопрос явно с подвохом.

Зависит от степени критичности текущей ситуации, оборудования и типа инцидента.
Например, в случаи эпидемии с каким-либо сетевым червем у вас уже нет времени ждать эксперта и разбираться, иначе вся инфраструктура будет скомпрометирована.
Самый первый шаг - это позвонить нам и мы скажем что делать в конкретной ситуации.

Сейчас очень много образовательных программ и курсов, которые готовят таких специалистов. Я рекомендую, например, наши образовательные программы.

Такие нередко встречаются . Основное ограничение для script kiddies - это сложность получения полного контроля над атакуемой компанией, чтобы не только остановить процесс, но и не допустить восстановления штатными средствами. Например, из резервных копий.

Да, например, WannaCry, BadRabbit, NotPetya

Мы найдем тех, кому это удастся сделать и добьемся привлечения их к ответственности, и не важно сколько времени это займет.

Да, часто человеческий фактор является причиной инцидентов. Социальный инжиниринг очень активно используется всеми категориями хакеров.

Они перестали быть популярными после первой же волны атак, поскольку многие компании экстренно установили необходимые патчи.

Да, у нас есть программы стажировки. Но не для будущих кибердипломатов.

У нас много продуктов и для каждого свой набор конкурентов. По направлению киберразведки чаще всего конкурируем с FireEye и Recorded Future.

Есть три пути, как с этим бороться: люди должны знать об угрозе и как себя вести (например, не общаться по телефону с посторонними людьми), улучшать антифрод-решения на стороне банка, и обязательно привлекать к уголовной ответственности мошенников.