Эксклюзивное интервью с BlackMatter: "Всем желаем мира и добра, без нас этот мир станет лучше"

⚠️ Данная статья несёт ознакомительной характер с целью проинформировать общественность, СМИ, государственные организации и частный бизнес о проблемах глобального рынка информационной безопасности, а также помочь профильным компаниям по кибербезопасности защитить своих партнёров и клиентов от кибератак.

🔐 ЧТО ТАКОЕ RANSOMWARE?

Ransomware — программа-шифровальщик, которая шифрует файлы на компьютере жертвы, требуя за расшифровку деньги.

По оценкам ведущих компаний рынка информационной безопасности Kaspersky, Positive Technologies и Group-IB, угроза со стороны программ-шифровальщиков становится все более значимой, а если верить недавнему отчёту Trend Micro, то процентное увеличение ransomware атак на банковский сектор в сравнении с 2020 годом выросло на 1138% в первой половине 2021, что несомненно является крайне тревожным сигналом.

Международные компании и организации по кибербезопасности c учётом новых реалий COVID-19 вынуждены всё более пристально отслеживать деятельность киберпреступных группировок и предугадывать дальнейшие их действия на два шага вперед. Не всегда атаки хакеров бывают сложными с технической точки зрения, так например, резонансный взлом Solarwinds, по версии CМИ, cтал возможен благодаря человеческому фактору и слабому паролю 'solarwinds123', который использовался стажером компании для защиты учётной записи.

Как пишет Reuters, резонансные кибератаки в 2021 со стороны шифровальщиков на Colonial Pipeline, JBS и Kaseya привели к тому, что к расследованию инцидентов подключились не только спецслужбы, но и военные из Министерства обороны США. Это также подтвердил высокопоставленный генерал Пол Накасоне, директор АНБ и глава Кибернетического командования США.

"Before, you couldn't hack into these forums, and the military didn't want to have anything to do with it. Since then, the gloves have come off." - Kellermann

🚰 DARSKIDE И COLONIAL PIPELINE

7 мая произошла кибератака на компанию Colonial Pipeline, которая обеспечивала топливом значительную часть населения восточного побережья США. По информации Associated Press (AP), за атакой могла стоять группировка DarkSide. В США даже ввели режим региональной чрезвычайной ситуации в ряде штатов из-за кибератаки шифровальщика.

Кибератака стала возможна из-за утечки пароля одного из сотрудников, об этом сообщил телеканалу Bloomberg старший вице-президент компании Mandiant Чарльз Кармакал, отвечавший за устранение последствий взлома.

После атаки на Colonial Pipeline хакеры из DarkSide внезапно исчезли, но уже в ноябре 2021 ГосДеп США решил не оставлять дело без внимания, предложив публично 10 миллионов долларов за помощь в поимке причастных лиц.

🏴‍☠️ ПО СЛЕДАМ ХАКЕРОВ

В августе 2021, ИБ аналитик американской компании Recorded Future, бывший хакер, Дмитрий Смилянец взял интервью на русском языке у группировки под названием BlackMatter:

На вопрос, является ли BlackMatter новым названием все той же DarkSide (операции двух группировок имеют очень много общего ), собеседник Смилянца ответил, что группировка восхищается работой своих коллег из DarkSide и знакома с ней не понаслышке – раньше они работали вместе.

«Но мы – не они, хотя нам и близки их идеи», – уверил собеседник.

Известный ИБ журналист Брайан Кребс в августе 2021 выложил у себя пост в Twitter, где предположил, что DarkSide сделали ребрендинг названия, однако, прямых убедительных доказательств представлено не было.

📰 Догадки западных СМИ

Многим ИБ специалистам известно правило, что высокий технический уровень современных профессиональных группировок позволяет эффективно мимикрировать под кого угодно, в том числе и хакеров из других групп. Даже высококвалифицированным ИБ профессионалам сложно со 100% уверенностью определить кто стоит за атаками, не говоря уже об обычных людях и журналистах. Поэтому всё чаще вызывает недоумение тот факт, что некоторые западные СМИ слишком торопятся с выводами в сторону определенных стран.

🎤 ТЕКСТОВОЕ ИНТЕРВЬЮ С BLACK MATTER

Сразу после публикации интервью компанией Recorded Future, возникла идея сделать похожее текстовое интервью и задать свои вопросы. Шифровальщики не боятся публиковать контакты в открытом доступе, поэтому списаться с ними могут практически все от журналистов до правоохранительных органов. Журналистский опыт переписки обычно выглядит следующим образом: "Возможно взять у вас интервью? - Можете, присылайте вопросы". После того как вопросы были отправлены ещё летом - наступило молчание.

3 ноября в СМИ вышла новость о том, что проект BlackMatter закрывается. Об этом написали многие профильные ИБ каналы в Telegram. Тук-тук. Внезапно раздался звук сообщения с того аккаунта, куда я писал летом. Месседж был кратким: "Можете снова отправить свои вопросы, ответим". Показать для читателя ещё одну альтернативную точку зрения по теме ransomware является большой удачей для блогера-журналиста (все три группы разные и конкурируют друг с другом REvil, LockBit и BlackMatter), поэтому буквально за несколько часов второпях пришлось отредактировать отправленные ещё летом вопросы и направить их адресату. Спустя короткое время, ответы пришли в традиционном формате вопрос-ответ.

Без каких-либо предупреждений, пояснений к ответам, дополнительных комментариев, аккаунт собеседника тут же загорелся статусом "не в сети". По тексту ниже читателю станет понятно почему. Вопросы не удалось нормально подготовить из-за спешки, поэтому не судите строго:

Вопрос: Название BlackMatter, есть ли тут связь с DarkSide? Западные ИБ специалисты утверждали, что ваше название является ребрендом старого названия DarkSide. Так кто же вы?

Ответ: За проектами BlackMatter стояли разные личности, но связывала их лишь одна вещь-покупка исходных кодов, перед закрытием DarkSide.

Были куплены исходные коды админ панели и Windows, Linux пришлось разрабатывать с нуля, так как не были достигнуты договоренности о продаже исходного кода.

Вопрос: Возможно, известность партнерской программы во многом зависит от количества упоминаний атак в СМИ, названий брендов компаний, а также $ выкупов. Не ИБ специалистам трудно отличить Avaddon от Conti, REvil от Maze, Lockbit от Babuk, так в чем же принципиальное отличие локеров (шифровальщики) друг от друга? PR и технические характеристики?

Ответ: На наш взгляд маркетинг и позиционирование играет ключевую роль, так же дальше идут технические характеристики. В целом локеры друг от друга существенно не отличаются.

Вопрос: Почему проект Black Matter выбрал в качестве референса группировки REvil, DarkSide и LockBit, а не Avaddon, Conti, Maze, Babuk?

Ответ: Первые два проекта-благодаря их стратегии позиционирования на рынке, а так же иновационным решениям. Lockbit-благодаря его единственному преимуществу-неплохой кодовой базы Windows. Остальные проекты не рассматривались из-за их примитивного уровня развития или отсутствия на рынке на момент запуска партнерской программы.

Вопрос: Почему самые разыскиваемые ransomware группы не против текстовых интервью с блогерами, журналистами СМИ и даже cybersec экспертами Threat Intelligence, последние, как раз являются охотниками на самих же шифровальщиков. Почему одни боятся огласки, а другие наоборот, не против заявить о себе?

Ответ: Интервью в том формате, которое даем мы-не нарушает нашу приватность, так же мы отходим от дел, на момент публикации интервью все улики уже уничтожены.

Вопрос: Когда группы дают интервью журналистам, блогерам, и ИБ специалистам, проверяется ли их аффилированность к спецслужбам?

Ответ: Мы не можем проверить их на аффилированность, так же, как они не могут идентецыфировать наши личности. Мир это театр.

Вопрос: Первое публичное интервью вы дали бывшему хакеру Дмитрию Смилянцу, который сейчас работает в Recorded Future. Ни для кого ни секрет, что изначально Recorded Future финансировался в качестве стартапа компанией Google и венчурным фондом In-Q-Tel, который тесно связан с ЦРУ.

Recorded Future was itself acquired by private equity firm Insight Partners back in 2019 for $780 million. The acquisition effectively bought out the company’s earlier investors, including Google’s venture arm GV, and In-Q-Tel, the nonprofit venture arm of the U.S. intelligence community.

По версии некоторых западных СМИ, получается якобы хакеры из СНГ отвечают на специально подготовленные вопросы аналитиков разведки США, чтобы тем было легче провести поведенческий анализ. Звучит как откровенное безумие cо стороны шифровальщиков. В чём смысл?

Ответ: На тот момент BlackMatter необходимо было громкое интервью для поднятия интереса со стороны потенциальных клиентов, момент когда спецслужбы узнали бы о новой ПП был не столь важен, это было ожидаемо.

Вопрос: Объясните что такое мимикрия: маскировка кода, добавление специфичных конструкций кода, что ещё?

Ответ: Технически это выглядит как модификация ПО используемого определенной группировкой. ПО можно скачать на virustotal, malwarebazar или других ресурсах, далее с имитировать командный сервер и перезаписать его данные в билде.

Вопрос: В интервью Дмитрию, вы сообщили, что знаете и общались с командой DarkSide. По-вашему мнению, атака на Colonial Pipeline это случайная атака в лоб, при которой хакеры не рассчитывали на столь сильное давление общественности или спланированная атака? Как бы вы прокомментировали?

Ответ: Цель была заработок, а не участие в геополитической игре.

Вопрос: Недавно в сеть попал исходный код Babuk, а также нашумела история с Conti, когда недовольный участник «партнерской программы» опубликовал в сеть некие обучающие материалы. Как подобные события влияют на другие группировки?

Ответ: Никак, исходные коды Babuk низкого качества, возможно кто то их и будет использовать.

Вопрос: После истории с Colonial Pipeline, как считаете, снизится ли общее количество атак на КИИ (критическая инфраструктура), так как партнерским программам становится все опаснее и сложнее работать с учётом такого давления и внимания со стороны общественности.

Ответ: Colonial Pipeline запустил необратимый процесс в ходе которого закроются все партнерские программы, где управляющая команда осталась адекватной и понимает все риски. Всех денег не заработаешь.

Вопрос: RaaS практически всегда выступает в качестве фронтмена, переговорщика и PR службы одновременно, но основную работу делают партнёры (affiliates), как бы вы оценили в процентном соотношении зависимость успеха ПП от партнёров?

Ответ: Все RaaS держатся на партнерах в первую очередь, да все верно-партнеры находятся в тени и ПП берет основной удар и внимание на себя, за что собственно получает свое вознаграждение.

Вопрос: Могут ли в теории недружественные ПП имитировать атаки друг друга, например, профессионально мимикрировать под конкурентов, чтобы атаковать КИИ или больницы. Таким образом, ПП которая заявила ранее о запрете атак на КИИ вынуждена оправдываться или даже закрыться.

Ответ: Вполне, но пока такого мы не встречали.

Вопрос: Какую часть в доходах вы потеряли когда исключили объекты КИИ?

Ответ: До 20% компаний не были одобрены в BlackMatter.

Вопрос: Сельское хозяйство все чаще атакуется шифровальщиками, допустим, в руки ПП попадает система контроля полива почвы или шифруются таблицы внесения удобрений - предприятие работать не может. Все это сказывается на продовольственном обеспечении региона. Подпадают ли агропредприятия под термин критическая инфраструктура, по вашему мнению?

Ответ: Не подпадают, наши слова не отличаются от тех, что мы уже писали. Если брать пример NEW Cooperative - таких компаний сотни в США и нельзя говорить о том, что при временной неработоспособности систем-нарушится вся пищевая цепочка.

Другое дело-нефтеперарабатывающие заводы, станции по очистке воды и другие действительно критические объекты. BlackMatter ни разу не атаковала такие предприятия.

Вопрос: В интервью с LockBit утверждалось, что один из лучших антивирусных продуктов это Bitdefender. А как вы считаете, какие антивирусы могут помочь компаниям защищать себя от шифровальщиков?

Ответ: Мы советуем ставить компаниям такие антивирусы как: Carbon Black, Cylance, Bit9. При одном виде таких АВ сразу делается вывод, что компания-проблемная и проще найти, что-то другое. То, что BitDefender никакой, а LockBit не разбирается-это факт.

Вопрос: Android ransomware в виде червя это миф или реальность?

Ответ: Может и реальность, но вряд ли прибыльная, по этому не знаем. Нас всегда интересовали корпоративные сети

Вопрос: Спокойные выходные у безопасников без шифровальщиков когда-нибудь настанут?

Ответ: Уже стали спокойнее, после нашего ухода останется всего несколько низкопрофессиональнных проектов вроде LockBit. Но это временное явление, учитывая последние геополитические события (передача информации между США и Россией).

Вопрос: Что важнее деньги или процесс?

Ответ: Процесс и деньги, а так же свобода.

Вопрос: Путь или результат?

Ответ: Путь, а потом результат. У всего есть конец.

Вопрос: Почему уходите?

Ответ: Уход связан с множеством негативных факторов которые скоро окончательно забьют последние гвозди в направление Ransomware. Мы предпочитаем уходить заранее и своим ходом, чем наслаждаться 20 лет окном в клетку.

По этому всем желаем мира и добра, без нас этот мир станет лучше :) И передаем привет США, иногда планы не сбываются и все идет не так как вашей нации угодно, стоит к этому привыкнуть.

Вот такое небольшое интервью получилось. Наступил ли закат для шифровальщиков покажет только время. На примере 3-х интервью с прямыми конкурентами REvil, LockBit и BlackMatter тема раскрыта более чем полностью, поэтому подобных интервью пока больше не будет. Выводы делайте самостоятельно👍

🚀Донат - https://boosty.to/russian_osint

🇷🇺 Telegram - @russian_osint

👑 YouTube - https://www.youtube.com/c/RussianOSINT

🔞Интервью - @russian_osint_interview

📲 Связаться/Реклама - @russian_osint_bot

📧 Email - russian_osint@riseup.net