В обоях Windows, которые LockBit размещает на атакованных машинах, содержится приглашение поработать «кротом» за миллионные вознаграждения. По-видимому, оно ориентировано на ИТ-консультантов.
Лотто «Левый миллион»
Резко активизировавшаяся в последнее время кибервымогательская группировка LockBit 2.0 пытается вербовать инсайдеров в корпоративных сетях, обещая им миллионные выплаты. При этом сами призывы размещаются непосредственно в сообщениях с требованием выкупа.
LockBit 2.0 работает по модели «шифровальщик как услуга» (RaaS), что означает, что непосредственные атаки производят участники партнерских программ, арендующие инфраструктуру шифровальщика. При успешном получении выкупа партнеры получают 70-80% прибыли, остальное достается операторам инфраструктуры.
Сами эти партнеры далеко не всегда самостоятельно взламывают интересующие их организации: зачастую они покупают доступ в их внутренние сети на стороне. Случается, что реквизиты доступа продают инсайдеры атакуемых организаций, и это небезосновательно считается наиболее опасным сценарием, поскольку предотвратить такую атаку намного сложнее.
Основные операторы LockBit 2.0 решили централизованно искать инсайдеров, чтобы предоставлять своим партнерам уже готовый доступ — вероятно, за отдельные деньги. Потенциальным инсайдерам обещают миллионные заработки за данные, необходимые для получения доступа в инфраструктуру целевых компаний, например, пароли к RDP, VPN, корпоративной почте и пр.
При этом инсайдерам будет предоставляться специальная вредоносная программа (вирус), которую надо будет запускать на любой машине внутри компании.
Неожиданное место для рекламы
Интереснее всего, однако, где именно размещается обращение к потенциальным инсайдерам.
После успешного шифрования файлов LockBit 2.0 заменяет обои Windows собственным изображением с сообщение о том, что «все важные файлы украдены и зашифрованы». И на том же экране внизу содержится приглашение поработать инсайдером.
Как предполагают эксперты издания Bleeping Computer, воззвание злоумышленников нацелено главным образом на сторонних ИТ-консультантов, которые будут заниматься устранением последствий атаки.
По данным отчета Ponemon Institute, опубликованного в феврале 2020 г., количество инцидентов утечки данных, вызванных действиями инсайдеров, в роли которых могут выступать как обиженные сотрудники, так и недобросовестные контрагенты и партнеры, быстро растет, также, как и ущерб от них — и финансовый и репутационный. В ходе исследования были опрошены 964 ИТ- и ИБ-специалиста из 204 организаций численностью более 1 тыс. сотрудников. Всего в них за 12 месяцев произошло 4716 ИБ-инцидентов, связанных с инсайдерами. Это на 47% больше, чем в аналогичном исследовании Ponemon 2018 г. В большей части случаев, впрочем, причиной инцидентов называется небрежность сотрудников.
На днях стало известно, что новая версия LockBit 2.0 способна использовать групповые политики домена Windows для автоматизации своего распространения по всем машинам домена и отключения антивирусной защиты на них.
«Киберзлоумышленники нередко пытаются вербовать инсайдеров. В качестве таковых выступают малопорядочные люди, желающие поживиться за счет работодателя, или же те, кто хочет отомстить своим нанимателям за что бы то ни было, — говорит Алексей Водясов, технический директор компании SEC Consult Services. — Инсайдерские атаки регулярно занимают высокие места в рейтингах основных ИТ-угроз, и небезосновательно: бороться с ними только техническими методами невозможно. Что же касается воззваний LockBit 2.0, то это демонстрация какой-то особой наглости. Хотя нечистоплотные люди встречаются и среди ИТ-консультантов».
