- Сообщения
- 8.320
- Реакции
- 10.998
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
■ ОПГ в даркнете IV: Структура REvil и GandCrab — вымогательство как сервис (RaaS)
С началом 2010-х годов цифровое подполье стало новой ареной для организованной преступности. Даркнет, криптовалюты и глобальная децентрализация коммуникаций создали идеальные условия для появления киберОПГ, действующих с уровнем организации, сопоставимым с мафией. Одним из самых показательных примеров такой трансформации стали структуры REvil и GandCrab — кибербандформирования, применявшие модель RaaS (Ransomware-as-a-Service) и охватившие тысячи жертв по всему миру.
■ Что такое RaaS: преступление по подписке
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
— это вымогательство как сервис. В отличие от одиночных атак, здесь действует распределённая схема: разработчики шифровальщика предоставляют его другим злоумышленникам (аффилиатам) через анонимную платформу. Аффилиаты проводят атаки, шифруют данные жертв, а выкуп делится между сторонами.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
— снижает риски для "ядра" ОПГ;— повышает масштаб атак;— превращает киберпреступность в устойчивую бизнес-модель.
■ GandCrab: предтеча масштабной RaaS-модели
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Эта вредоносная программа распространялась преимущественно через спам-рассылки с вредоносными вложениями, а также через наборы эксплойтов вроде RIG и Fallout. Впервые появившись на даркнет-форуме Exploit.in, разработчики заявили о начале публичной RaaS-программы и предложили «аффилиатам» использовать вирус на условиях партнёрства: 60–80% выкупа оставалось у исполнителей, остальное — у ядра группировки.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Вирус избегал заражения русскоязычных систем (определяя раскладку клавиатуры или региональные настройки), что дало повод считать разработчиков выходцами из постсоветского пространства. Особо агрессивные кампании прошли в начале 2019 года, когда GandCrab заражал до 50 000 компьютеров в сутки. В июне 2019 года аффилированная с Europol группа Bitdefender в сотрудничестве с ФБР и румынской киберполиции объявила о публикации инструментов для дешифровки всех версий вируса. Почти сразу после этого неизвестные лица (предположительно разработчики) разместили заявление об уходе «на покой», утверждая, что заработали более $2 млрд. Несмотря на завершение активной фазы, архитектура GandCrab стала основой для REvil, а его код — доступной матрицей для новых RaaS-продуктов.■ REvil (Sodinokibi): экспансия и падение
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
, начал активность в апреле 2019 года и быстро стал флагманом нового поколения кибервымогателей.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
. Аналитики предполагают, что между разработчиками GandCrab и REvil существовала прямая связь: как минимум часть ключевых акторов продолжила работу под новым брендом. Об этом свидетельствуют схожая архитектура, каналы распространения и стилистика в даркнете. REvil осуществил сотни атак на организации по всему миру. Среди крупнейших — атака на юридическую фирму Grubman Shire Meiselas & Sacks в 2020 году (с требованием $42 млн и утечкой данных звёзд шоу-бизнеса), атака на базу данных Apple через подрядчика Quanta Computer и, пожалуй, наиболее резонансная — атака на Kaseya в июле 2021 года. Через уязвимость в её системе управления удалёнными устройствами было заражено более 1500 компаний, а выкуп составлял $70 млн в криптовалюте.REvil использовал:— сложную криптографию для шифрования файлов;— утечку данных до шифрования (double extortion);— платформу с чёткой системой отчётности и ранжирования аффилиатов;—
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
На пике активности REvil требовал выкупы в десятки миллионов долларов и размещал компрометирующие данные, если жертвы отказывались платить. Инфраструктура банды включала форумы, службу поддержки, партнёрскую сеть и внутреннюю иерархию.
■ Теневая экономика и кибербизнесВымогательство как сервис стало не просто видом преступности, а моделью цифрового предпринимательства:
— существуют форумы и маркетплейсы с рейтингами разработчиков шифровальщиков;— есть техподдержка для клиентов-аффилиатов и жертв;— сделки осуществляются через смарт-контракты и мультиподписи.
Подобные ОПГ не просто атакуют — они строят долгосрочные отношения с "аффилиатами", анализируют эффективность кампаний и совершенствуют инструменты. В этом смысле REvil и GandCrab можно рассматривать как стартапы в преступной экономике.
■ Ответ государств и падение REvilАтаки REvil привели к беспрецедентному вниманию со стороны международных спецслужб. После ряда публичных атак в 2021 году (включая инцидент с Kaseya) была проведена масштабная операция. США, при содействии российских и европейских спецслужб, добились временного отключения серверов банды. Позже были арестованы и участники, и криптовалютные операторы, связанные с REvil. RaaS-модель не исчезла. На её основе продолжают действовать новые группы — LockBit, BlackCat, Conti и другие. О них мы поговорим отдельно)
■ Инфраструктура, идеология и наследие
REvil и GandCrab стали не только технологическими структурами, но и идеологическими. Внутри даркнет-форумов они формировали устойчивую репутацию: публиковали манифесты, демонстрировали готовность не атаковать медучреждения или образовательные учреждения (что тоже часть пиара), а иногда даже вступали в полемику с исследователями и журналистами. Это были не молчаливые "вирусописатели", а цифровые фигуры с претензией на стратегическое мышление. Важно подчеркнуть зависимость таких ОПГ от криптовалютной инфраструктуры. Без анонимных кошельков, микшеров, транзакций через Monero и систем отмывания через биржи в офшорах — весь бизнес просто бы не состоялся. Тут возникает параллель с классической мафией, где преступная логистика (портовые терминалы, казино, курьеры) — столь же важна, как и сам акт преступления. Влияние REvil и GandCrab ощущается до сих пор. Их кодовая база используется в новых атаках, а RaaS стал де-факто нормой. Некоторые эксперты предполагают, что будущие версии таких ОПГ будут тесно интегрированы с искусственным интеллектом — для автоматизации взломов, выбора жертв, даже ведения переговоров.
Истории GandCrab и REvil - примеры хакерской активности. Это свидетельства нового типа организованной преступности, действующей без границ, без лица, без центра. Это экономика тени, где преступление стало сервисом, а шифровальщик — продуктом с поддержкой, обновлениями и маркетингом. Так же, как в XX веке преступные синдикаты контролировали улицы и рынки, в XXI веке киберОПГ захватывают облака и серверы, оставляя государства в роли догоняющих. Их структура — зеркальное отражение корпоративного мира, только без легальности. И потому — куда опаснее.
Эта статья была создана с использованием нескольких редакционных инструментов, включая искусственный интеллект, как часть процесса. Редакторы-люди проверяли этот контент перед публикацией.
В нашем пространстве вы найдете много интересного и познавательного,
так же просто общение.
→
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
←
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
&
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
&
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Telegram:
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
&
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
