В октябре пошлого года на YouTube-канале
Russian OSINT вышло интервью с владельцами ransomware
Sodinokibi (
REvil), очень познавательное. Мы про это писали
здесь.
Теперь команда
Cisco Talos разметила
материал по результатам нескольких интервью с одним из операторов ransomware
LockBit. Подчеркнем, не с владельцем, а с одним из операторов, поскольку
LockBit работает по схеме Ransomware-as-a-Service. Ресерчеры называют его
Алекс.
Контакт с злоумышленником был установлен исследователями в сентябре 2020 года и с тех пор они провели с ним несколько бесед.
Хакер, по его словам, самоучка и не имеет отношения к какой-либо группе или государственной структуре. Он осуществляет взломы исключительно в целях заработка денег на обеспечение своей семьи. Во время осуществления атак он не использует 0-day уязвимости или авторские вредоносы, а полагается исключительно на общедоступные инструменты, такие как
Mimikatz. Таким образом основными целями этого оператора
LockBit являются сети с непропатченным ПО.
Интересные моменты, которые подметили исследователи
Cisco Talos:
- хакер пренебрежительно относится к тем, кто взламывает больничные сети, но при этом сам, судя по всему, не брезгует это делать;
- потому что больничные сети - самая выгодная жертва, они выплачивают выкуп в 80-90% случаев;
- у владельцев
Maze была самая высокая комиссия, составлявшая 35%, что отворачивало многих хакеров от сотрудничества с ними;
-
GDPR (Регламент ЕС о защите персональных данных) играет на руку вымогателям, поскольку предусматривает серьезные последствия для компании в случае утечки информации, в силу чего они охотнее соглашаются выплатить выкуп чтобы сведения о взломе не стали достоянием общественности;
- в
США компании обязаны под угрозой санкций сообщать о всех инцидентах с безопасностью, поэтому американские жертвы платят менее охотно.
Теперь немного о личности хакера. Хакер, по мнению американских исследователей, русский. Они уверены, что ему чуть за 30, он из
Сибири.
Алекс пренебрежительно отзывается о российских инфосек компаниях - судя по всему ранее он работал в индустрии кибербезопасности и его знания, по его мнению, не оценили. Со временем он понял, что не может добиться устранения тех уязвимостей, которые он находил, поэтому он решил зарабатывать на этом деньги.
И вот в последние сентенции мы, к сожалению, верим. Отношение к вопросам информационной безопасности в
России, как мы уже неоднократно говорили, ниже плинтуса, что в коммерческом секторе, что в государственном. И многие молодые инфосек энтузиасты, доказывающие свою точку зрения с горящими глазами, натыкаются на эту бетонную стену безразличия, после чего кто-то ломается и смиряется, кто-то уходит в другие области, единицы пробиваются и становятся лидерами своих проектов. Ну а кто-то разочаровывается в инфосеке и переходит на темную сторону.
Интересные материалы, почитайте.