Взломали, извинились, починили. Группировка Nova показала чудеса клиентского сервиса.
NewsMakerКиберпреступники исключили партнера из синдиката за атаку на бизнес со штаб-квартирой в СНГ.
Даже вымогатели иногда атакуют не тех. Партнёрская программа Nova, связанная с RAlord, извинилась перед Eriell Group, крупной нефтесервисной компанией со штаб-квартирой в Узбекистане и офисом в Москве. Один из партнёров Nova ударил по цели из страны СНГ, хотя для русскоязычных группировок подобные компании обычно запрещены.
Eriell Group связалась с операторами Nova и указала на ошибку. После обращения Nova исключила виновного партнёра из программы и принесла официальные извинения. Группировка пообещала бесплатно помочь с восстановлением систем, заявила, что файлы не были зашифрованы, и отказалась публиковать украденные данные.
Аналитик Аллан Лиска сформулировал негласное правило так: вымогательские группировки не атакуют организации из стран СНГ. Формально киберпреступления запрещены в России и других странах региона, но многие русскоязычные группы избегают местных целей, поскольку атаки внутри региона повышают риск проблем с правоохранителями.
Похожие запреты действовали у DragonForce , VanHelsing и LockBit. Участникам и партнёрам запрещали атаковать российские компании и организации из других стран СНГ. После ошибки партнёр Nova, вероятно, надолго попадёт в неофициальные списки нежелательных исполнителей у других преступных команд.
Случай с Eriell Group показывает, что киберпреступники ошибаются не реже обычных разработчиков. Ранее Scattered Lapsus$ Hunters заявила о полном доступе к системам Resecurity и краже всех данных, но попала в ловушку исследователей угроз. После инцидента правоохранители смогли запросить данные об одном из участников.
Иногда ошибки злоумышленников помогают жертвам. Группа CyberVolk встроила мастер-ключ прямо в исполняемые файлы вымогателя, поэтому пострадавшие могли восстановить данные без оплаты. Подобные ошибки иногда позволяют исследователям выпускать бесплатные дешифраторы. В одном из случаев вымогатели применили статическую соль в криптографических процессах, из-за чего схема шифрования стала предсказуемой и обратимой.
Разработчики Sicarii, наоборот, сделали шифровальщик почти бесполезным для восстановления: программа создавала новую пару ключей при каждом запуске, а затем удаляла закрытый ключ. Похожая ошибка в Nitrogen мешала даже собственному дешифратору группировки вернуть файлы жертвам. В других семействах вымогателей ошибки в реализации RSA также помогали специалистам создавать инструменты расшифровки .
Вице-президент Trellix по стратегии анализа угроз Джон Фоккер ранее говорил, что индустрия безопасности слишком часто романтизирует злоумышленников. По словам эксперта, преступники остаются людьми с компьютерами, которые хотят украсть данные и заработать деньги. Nova подтвердила мысль на практике: одному партнёру хватило ошибиться с целью, чтобы вся группировка начала извиняться перед жертвой.
Даже вымогатели иногда атакуют не тех. Партнёрская программа Nova, связанная с RAlord, извинилась перед Eriell Group, крупной нефтесервисной компанией со штаб-квартирой в Узбекистане и офисом в Москве. Один из партнёров Nova ударил по цели из страны СНГ, хотя для русскоязычных группировок подобные компании обычно запрещены.
Eriell Group связалась с операторами Nova и указала на ошибку. После обращения Nova исключила виновного партнёра из программы и принесла официальные извинения. Группировка пообещала бесплатно помочь с восстановлением систем, заявила, что файлы не были зашифрованы, и отказалась публиковать украденные данные.
Аналитик Аллан Лиска сформулировал негласное правило так: вымогательские группировки не атакуют организации из стран СНГ. Формально киберпреступления запрещены в России и других странах региона, но многие русскоязычные группы избегают местных целей, поскольку атаки внутри региона повышают риск проблем с правоохранителями.
Похожие запреты действовали у DragonForce , VanHelsing и LockBit. Участникам и партнёрам запрещали атаковать российские компании и организации из других стран СНГ. После ошибки партнёр Nova, вероятно, надолго попадёт в неофициальные списки нежелательных исполнителей у других преступных команд.
Случай с Eriell Group показывает, что киберпреступники ошибаются не реже обычных разработчиков. Ранее Scattered Lapsus$ Hunters заявила о полном доступе к системам Resecurity и краже всех данных, но попала в ловушку исследователей угроз. После инцидента правоохранители смогли запросить данные об одном из участников.
Иногда ошибки злоумышленников помогают жертвам. Группа CyberVolk встроила мастер-ключ прямо в исполняемые файлы вымогателя, поэтому пострадавшие могли восстановить данные без оплаты. Подобные ошибки иногда позволяют исследователям выпускать бесплатные дешифраторы. В одном из случаев вымогатели применили статическую соль в криптографических процессах, из-за чего схема шифрования стала предсказуемой и обратимой.
Разработчики Sicarii, наоборот, сделали шифровальщик почти бесполезным для восстановления: программа создавала новую пару ключей при каждом запуске, а затем удаляла закрытый ключ. Похожая ошибка в Nitrogen мешала даже собственному дешифратору группировки вернуть файлы жертвам. В других семействах вымогателей ошибки в реализации RSA также помогали специалистам создавать инструменты расшифровки .
Вице-президент Trellix по стратегии анализа угроз Джон Фоккер ранее говорил, что индустрия безопасности слишком часто романтизирует злоумышленников. По словам эксперта, преступники остаются людьми с компьютерами, которые хотят украсть данные и заработать деньги. Nova подтвердила мысль на практике: одному партнёру хватило ошибиться с целью, чтобы вся группировка начала извиняться перед жертвой.