Black Hat Можно было бы надеяться, что после многих лет призывов к компаниям защищать свои системы предприятия будут иметь лучшую защиту веб-приложений, чем киберпреступники. Но исследование, представленное на Black Hat на этой неделе, показывает, что это совсем не так.
Вангелис Стыкас, технический директор и соучредитель компании Atropos, занимающейся тестированием на проникновение, рассказал The Register, что, исходя из своего опыта попыток взлома веб-приложений (его специализация), злоумышленники, занимающиеся программами-вымогателями, гораздо лучше справляются с безопасностью, чем их целевые корпоративные объекты.
«Я протестировал 135 веб-сайтов [программ-вымогателей], и только в трех из них я нашел уязвимости», — рассказал нам Стикас в интервью, предшествовавшем его выступлению на Black Hat. Это составляет менее 3 процентов групп программ-вымогателей, имеющих уязвимые веб-приложения, которые обычно используются злоумышленниками для сброса украденных данных и публикации записок с требованием выкупа.
«Это нетипично для предприятий, где я обычно нахожу уязвимости в 40–50 процентах веб-приложений», — добавил Стикас.
И это не здорово, не правда ли?
BlackCat разоблачен
Для контекста, Стикас сумел пробраться на веб-порталы, контролируемые некоторыми довольно известными группами, включая ALPHV/Black Cat, как показано в его презентации.
После нескольких дней непрерывного сканирования URL-адресов C2 ALPHV, чтобы увидеть, какие из них вышли в сеть, Стикас рассказал нам, что ему удалось заставить один из серверов сбросить документацию по клиентам и задачам, что в свою очередь позволило ему сбросить задачи сервера и создать новые. Этот сервер быстро отключился, но, вооружившись знаниями об API группы, полученными в результате его вторжения, Стикас принял меры.
«Я создал скрипт Python, который анализировал конечную точку… Мне пришлось подождать пару дней [пока он не появится в сети], но после этого я смог извлечь 197 команд за две минуты», — объяснил он.
Затем Стикас смог идентифицировать нескольких жертв ALPHV, включая пару единорогов в сфере криптовалют, с которыми он смог связаться, чтобы помочь им устранить уязвимости и предотвратить выкуп.
Это было в январе, сказал Стикас. К марту ALPHV/BlackCat рухнул, провел экзит-скам и практически исчез.
«Я не хочу брать на себя ответственность за это», — возразил Стикас, объяснив, что громкий характер группы ограничил ее продолжительность жизни, особенно после провального декабрьского рейда, который привел команду в состояние повышенной готовности. Тем не менее, «я думаю, [мой взлом] вызвал у них дополнительный стресс».
Стикасу также удалось взломать системы, контролируемые группой вымогателей Everest, которая, по его словам, управляла устаревшим сайтом WordPress на экземпляре VertigoServ с истекшим сроком службы, что позволило ему сбросить всю их базу данных; и группу, стоящую за семейством вымогателей Mallox. В последнем случае Стикас смог воспользоваться функцией чата на портале утечки группы, чтобы идентифицировать нескольких членов группы и украсть дешифратор.
Стикас рассказал нам, что он проник на веб-портал четвертой группы вымогателей, но пока не был готов раскрыть подробности.
«Единственное плохое, что я делал последние два года, это то, что я начал получать оповещения от Google о том, что поддерживаемые правительством злоумышленники работают против меня», — объяснил Стикас.
Не самые лучшие новости, но они определенно заставляют киберпреступников беспокоиться.
Теперь, ПОЖАЛУЙСТА, не могли бы вы защитить свои системы?
Неудивительно, что банды вирусов-вымогателей лучше защищают свои внешние веб-сайты — в конце концов, они полны людей, которые либо способны взломать такие сайты, либо, по крайней мере, обеспокоены тем, что могут подвергнуться тем же злоупотреблениям.
Так что, хотя определенно приятно направлять тактику киберпреступников против них самих, взлом веб-сайтов с требованием выкупа может быть не самым надежным способом противодействия злоумышленникам.
«Это могло бы быть плодотворным, если бы вы занимались этим как правительство или компания с большим количеством людей», — сказал нам Стикас, — в противном случае это, вероятно, просто пустая трата времени. «Я делал это в свободное время и, полагаю, потратил около 100 часов».
Другими словами, пожалуйста, извлеките урок из опыта преступников, пытающихся взломать ваши веб-сайты и другие системы, выходящие в интернет, и заблокируйте их. Или примите тот факт, что вы можете стать следующей жертвой, о которой мы пишем в качестве предупреждения другим. ®