ВЗЛОМАТЬ ХАКЕРОВ: Изнанка самой опасной кибергруппировк… — Transcript

Документальный фильм о кибератаке Lockbit, методах вымогательства и борьбе с хакерами на примере компании Босфарбен.

Key Takeaways

  • Кибератаки с использованием программ-вымогателей представляют серьёзную угрозу для бизнеса и экономики.
  • Двойное вымогательство усиливает давление на жертв, сочетая шифрование данных и угрозу их публикации.
  • Надёжные резервные копии и подготовленные планы реагирования критически важны для восстановления после атаки.
  • Психологическая поддержка и сплочённость команды помогают справиться со стрессом в кризисной ситуации.
  • Государственная поддержка и международное сотрудничество необходимы для эффективной борьбы с киберпреступностью.

Summary

  • Описание кибератаки на компанию Босфарбен, остановка производства и угроза для 200 сотрудников.
  • Объяснение принципов работы программ-вымогателей и методов проникновения в сеть – социальная инженерия и поиск уязвимостей.
  • Двойное вымогательство: кража данных перед их шифрованием и угроза публикации украденной информации.
  • Переговоры с хакерами, требования выкупа в биткоинах и моральная дилемма платить или закрывать бизнес.
  • История внедрения специалиста Джона Димаджо в группировку Lockbit и сбор информации о работе хакеров.
  • Психологическое давление и стресс, вызванный кибератакой, на сотрудников и руководство компании.
  • Восстановление данных из резервных копий и важность надежных бэкапов для спасения бизнеса.
  • Влияние атаки на семейный бизнес и социальную ответственность перед сотрудниками и их семьями.
  • Роль государственных мер и поддержки для жертв кибератак и необходимость борьбы с киберпреступностью.
  • Заключение о важности осознания угроз и уроках, которые можно извлечь из подобных инцидентов.

Full Transcript — Download SRT & Markdown

00:03
Speaker A
День, когда это случилось, начался как обычно. Я, как всегда, пришёл в офис. И тут кто-то из эти отдела подходит и говорит: "Эй, Филип, у нас проблема".
00:19
Speaker A
Когда мы осознали весь масштаб, мы прошлись по заводу и увидели, всё остановилось полностью. Ни одна машина не работала, стояла просто гробовая тишина.
00:40
Speaker A
Тогда я понял, если мы с этим не разберёмся, под угрозой окажется вся компания. Все 200 рабочих мест. Вообще всё.
00:51
Speaker A
Если всё подключено к сети, всё может быть взломано. Кибербезопасность становится всё более важной. Это называется программа Вымогатель. И это огромная проблема для всех нас. Эти программы наносят ущерб на миллиарды [откашливается] долларов.
01:07
Speaker A
Для себя я чётко решил: "Я готов заплатить довольно высокую цену за восстановление, но если есть хоть малейший шанс, я хотел бы избежать выплаты выкупа".
01:19
Speaker A
Выпуск переведён и озвучен по заказу RG. Здравствуйте, мистер Босхарт. Это не рекламный звонок. Помогите, нас взломали.
01:33
Speaker A
Фильм Романа Ходела. Для меня честь представить моего друга Джона Димаджо, который под прикрытием внедрился в группировку бит.
01:43
Speaker A
Он один из лучших специалистов по кибершпионажу на планете. Итак, как это работает? Чтобы провести атаку с использованием программы вымогателя, первый шаг — проникнуть в сеть. И есть два основных способа это сделать. Первый — социальная инженерия.
02:00
Speaker A
Это значит, что я ищу информацию о сотрудниках компании или просто делаю массовую рассылку на их адреса в надежде, что кто-то кликнет по ссылке. И если это произойдёт, для нас открывается путь внутрь системы.
02:16
Speaker A
Второй способ. Они сканируют инфраструктуру компании или сервера, имеющие выход в интернет. Все компьютеры с активным подключением.
02:25
Speaker A
и ищут уязвимости. Независимо от того, как вы попали в сеть, оказавшись внутри, вам всё ещё предстоит поработать. Им нужно найти способ повысить свои права доступа, чтобы получить ключи, открывающие все двери изнутри.
02:42
Speaker A
Если вы проникаете в эти системы, вы можете распространить программу вымогатель повсюду одновременно. Но у таких атак есть и вторая часть, которая развилась за последние пару лет. Это кража данных.
02:56
Speaker A
Это называется двойным вымогательством. Прежде чем зашифровать ваши данные, они их воруют. И вот когда данные у них, наступает время заблокировать всё в вашей системе. Так что теперь я не только могу пригрозить слить всю информацию ваших клиентов, но вы ещё и
03:11
Speaker A
ничего не можете с этим поделать. У них есть вся ваша конфиденциальная информация, и они полностью заблокировали вам доступ ко всему.
03:25
Speaker A
Когда я впервые услышал о программах вымогателях, я тут же начал представлять себе эту картину.
03:31
Speaker A
Если вам говорят, что вас взломали и ваши данные зашифрованы, в первую очередь вы чувствуете бессилие и беспомощность.
03:42
Speaker A
Именно так я себя и чувствовал. Компания Босфарбен обратилась к нам за помощью в марте двадцать пятого, мы оценили ситуацию и обнаружили картину полного разрушения.
04:12
Speaker A
Первым делом, конечно, возник вопрос: может ли Боссард Фарбен спастись, восстановив данные из резервной копии? В такие моменты на кону стоит всё будущее компании. Конечно, на нас давило время, ведь в нашем бизнесе так. Если клиент делает заказ сегодня, он хочет получить
04:30
Speaker A
товар уже завтра. И вот что происходит. Когда они блокируют все ваши файлы, они любезно оставляют записку прямо на рабочем столе вашего компьютера.
04:39
Speaker A
Внимание, ваша сеть взломана. Файлы зашифрованы. Все данные у нас, пока вы не заплатите. В документе на сервере были перечислены все их условия.
04:49
Speaker A
Там также говорилось, что у нас есть 12 дней на их выполнение. Мы собрались кризисной группой и вышли на связь с хакерами.
05:05
Speaker A
Тогда мы увидели, что было украдено 400 Гб данных. Они угрожали опубликовать их. Для общения у них есть что-то вроде чата, куда вы логинитесь, а затем вы ведёте эти переговоры и решаете, будете ли вы за это платить или нет.
05:35
Speaker A
В нашем случае они требовали четверть миллиона долларов в биткоинах. Хакеры хотят монетизировать свою атаку.
05:48
Speaker A
Мы вступаем в переговоры, чтобы потянуть время. Хуже всего, когда ты вынужден платить. Тогда встаёт выбор. Либо я плачу, либо закрываю компанию.
06:08
Speaker A
Конечно, если вы не можете восстановить резервную копию данных, в какой-то момент вам придётся решить, с какими последствиями вы готовы мириться.
06:17
Speaker A
Мы обсудим этот вопрос, но сумма, к сожалению, слишком высока. Вернёмся к вам в понедельник.
06:24
Speaker A
Хорошо. Тогда до связи в понедельник. Мой путь к теме программ вымогателей начался с того, что я был инженером и в качестве хобби писал в блог о плохих парнях, которых находил в интернете.
06:44
Speaker A
Потом меня завербовала разведка. Там меня научили выслеживать хакеров из других государств, которые занимались шпионажем против Соединённых Штатов.
06:54
Speaker A
Получив этот опыт, я ушёл в частный сектор. Я зашёл в Darknet и подумал: "Слушайте, если они общаются со своими жертвами, то может и со мной поговорят".
07:07
Speaker A
Перенесёмся в 2022. Я начал охоту на бит, одну из главных группировок в экосистеме программ вымогателей. КБИIT — это самый плодовитый вирус-вымогатель в мире. Или, по крайней мере, были ими.
07:22
Speaker A
Я попытался внедриться в их группу. До конца собеседования я не прошёл, но по окончании меня оставили в их приватном канале. КБИ Бит возглавлял человек под сетевым псевдонимом бит Саб.
07:35
Speaker A
Я просто притворился молодым перспективным хакером, который боготворил его. Я знал, что путь к нему лежит через его эго. Я просто продолжал задавать вопросы и делать вид, что пытаюсь учиться. Спустя примерно полгода у меня была вся информация о том, как
07:50
Speaker A
работает их группа, и я написал об этом семидесятистраничный отчёт. На следующий день после публикации отчёта об этом говорили в новостях. Мне звонили из правительственных спецслужб, и мне звонили не только из США, а со всего мира.
08:07
Speaker A
В тот момент я подумал: "Но теперь мне терять нечего. Можно попробовать поговорить с ним от своего имени". Я написал ему: "Привет, я Джон Димаджо. Я только что написал о тебе. Хочешь поговорить? Я ожидал угроз. Или что он просто пошлёт меня куда подальше. Но он
08:23
Speaker A
этого не сделал. Ответ был таким: "Люблю тебя. Ты лучший исследователь". Так завязалось общение, которое продлилось 3 года. Можешь прислать мне своё селфи, где ты с листом бумаги, на котором написано бит?
08:35
Speaker A
Спасибо, ты симпатичный. Похож на Брюса Виллиса и Чака Норриса". В итоге лидер группы оказался под следствием, и его имя прогремело повсюду.
08:56
Speaker A
Ко второму дню у нас появилась надежда, что мы сможем как-то использовать резервную копию. Мы дошли до того момента, когда не просто сдерживали хакеров, но и активно работали над восстановлением данных.
09:17
Speaker A
Понятно, что в эти отделе свет горел до поздна, до глубокой ночи, особенно в кабинете Вальтера Цимермана, нашего IT-менеджера.
09:33
Speaker A
Проверив данные, мы увидели, что резервные копии тоже повреждены, поэтому нам нужно было найти бэкап, который ещё работал.
09:46
Speaker A
Мы перебрали все старые копии и нашли одну семидневной давности. Конечно, сначала нужно было всё проверить, чистые ли там данные и сможем ли мы с ними работать. Надо было убедиться, что в фоновом режиме не осталось ничего скрытого.
10:05
Speaker A
Мы понимали, что если не сможем её восстановить, всё будет потеряно. Нашу компанию основал мой дед в 1947.
10:23
Speaker A
С тех пор она остаётся семейным бизнесом. Я занял пост управляющего директора в 2009. Сейчас у нас чуть менее 200 сотрудников.
10:45
Speaker A
Более 80% выручки приносят [откашливается] товары для покраски и ремонта. Это товары для людей, которые сами красят свои дома внутри и снаружи.
10:58
Speaker A
В компании все друг друга знают. Многие работают у нас годами. В такой ситуации, как кибератака, ты думаешь не столько об истории компании, как о том, что будет с сотрудниками, поскольку от их зарплаты зависят не только они, но и их семьи.
11:30
Speaker A
Конечно, некоторые люди боялись, гадали, что будет дальше, что станет с компанией, как это отразится лично на них.
11:43
Speaker A
Некоторые люди боялись, гадали, что будет дальше. Кое-кто в IT отделе винил во всём себя.
11:50
Speaker A
Поэтому мне пришлось пойти к ним и поставить себя на их место и сказать: "Всё нормально, да, были допущены ошибки, но не ошибается только тот, кто ничего не делает".
12:06
Speaker A
Мы просто работали и работали. Если давать себе волю слишком много думать, становилось только тяжелее.
12:13
Speaker A
Особенно потому, что мы не
12:32
Speaker A
В тот день, когда это произошло, я был просто в отчаянии. Я думал, всё кончено.
12:42
Speaker A
Я сидел за своим рабочим столом в полной безысходности. Помню, мелькнула мысль, с таким же успехом можно пойти на склад с растворителями, бросить туда спичку и пойти домой. И на этом всё.
13:05
Speaker A
Есть ещё эмоциональный ущерб, и о нём почему-то никогда не говорят. Видеть настоящие эмоции, грусть, горе, боль. Об этом не пишут в статьях про то, как чьи-то данные зашифровали или украли, но такие истории происходят постоянно.
13:21
Speaker A
Последствия куда масштабнее. Люди теряют работу, теряют бизнес, теряют клиентов. Это затрагивает нечто гораздо больше, чем просто данные единицы и нули.
13:33
Speaker A
Были моменты, когда хотелось просто разрыдаться. Даже сейчас, когда я об этом вспоминаю, наворачиваются слёзы.
13:40
Speaker A
Это было очень-очень эмоционально. Я думал, всё, что мы строили последние 20 лет, может просто исчезнуть в один миг. Единственное, что у меня осталось бы, это Земля.
14:06
Speaker A
Я Инги Вандербейл. Работаю [откашливается] в Норвей, директором по инновациям. Я один из переговорщиков с вымогателями и помогаю руководству компании во время таких инцидентов. Если говорить о психологическом воздействии подобных ситуаций, то это колоссальный стресс. И не только в первые 24 часа, но
14:26
Speaker A
и многие дни, недели и даже годы после атаки. Когда под удар попадает семейный бизнес, эмоций гораздо больше. Там компания - это люди. Это не просто твоё место работы. Ты часть этой компании.
14:55
Speaker A
На третий день мы получили новости. Да, мы нашли то, что можно восстановить. Дальше вам нужно реконструировать путь атаки, отследив его до нулевого пациента.
15:08
Speaker A
Нам нужно было понять, как они проникли, чтобы потом выбросить их из сети. Они атаковали всю систему целиком. Было неясно, как долго они там находились и какой ущерб нанесли.
15:28
Speaker A
Пришлось проверять каждый сервер по отдельности, чтобы убедиться, что он чист. Мы потратили кучу времени, пытаясь найти другие уязвимости в системе, чтобы они не смогли найти путь обратно.
16:00
Speaker A
Мы подошли к делу с позиции криминалистики. Пошагово восстанавливая ход атаки, мы нашли точку входа. Это было так называемое решение для удалённого доступа. Мы выяснили, какие имя пользователя и пароль они использовали. Это был аккаунт с очень слабым паролем. Оттуда они попытались
16:19
Speaker A
проникнуть вглубь системы, но столкнулись с проблемами, потому что внутренняя архитектура безопасности Боsрфарб была очень современной.
16:31
Speaker A
Позже мы обнаружили, что хакеры получили доступ через компьютерные экраны на наших погрузчиках на высотном складе, а уже оттуда смогли проникнуть в остальную часть системы.
16:52
Speaker A
Когда мы убедились, что всё снова работает мы конечно выдохнули но оставалась ещё одна проблема. Что будет с украденными данными, если мы не заплатим?
17:06
Speaker A
А затем шантажист связался со мной по телефону. Здравствуйте, мистер Босхарт. Меня зовут Майк, и это не рекламный звонок. Мы не уверены, понимаете ли вы, что происходит.
17:27
Speaker A
Они пытаются скрыть от вас реальную информацию. Потом они пытались позвонить ещё раз уже ко мне домой на личный номер.
17:44
Speaker A
Они думали, я не в курсе, что мои переговорщики вышли из переговоров. И мне стало ясно, раз они звонят мне домой. Они явно знают обо мне очень многое. ist offensichtlich ziemlich viel über mich.
18:12
Speaker A
Компания Боsхарфабент страна Швейцария. Публичный доступ. Последние исследования показывают, что в той же Австралии заявления о киберпреступлениях поступают каждые 6 минут. В этой сфере крутятся огромные деньги. По оценкам, глобальные убытки превышают 1 млрд долларов в год.
18:30
Speaker A
Типичный стереотип о хакеревымогатели давно устарел. Теперь это в высшей степени профессиональные организации. Существует даже бизнес-модели киберпреступность как услуга или вирусвымогатель как услуга. У них есть официальная структура, есть отдел кадров, отпуская выплаты зарплаты каждые 2 недели.
18:51
Speaker A
Мы также знаем, что они связаны с российским правительством. Российские власти закрывают глаза на развивающуюся теневую экономику киберпреступности.
19:01
Speaker A
Но есть определённые правила. Они могут свободно атаковать Запад, но не страны бывшего СССР. На самом деле властям это даже выгодно, потому что хакеры собирают информацию, а затем делятся украденными данными с правительством.
19:27
Speaker A
Самой значимой частью моего многолетнего расследования бандыкбит был сбор данных. Я мог быть в отпуске, но выходных не существовало.
19:38
Speaker A
Не было такого, чтобы в 9:00 вечера ты закрыл ноутбук и всё. Никаких выходных. Я общался с ним по три-четыре раза в неделю. У тебя прекрасная операционная безопасность. Наверное, лучшая, с которой я сталкивался. Я изучал её перед тем, как стать хакером. Это стало
19:55
Speaker A
рутиной. Ты перестаёшь воспринимать это как нечто из ряда вон выходящее. У меня есть очень близкий друг семьи.
20:07
Speaker A
Его восьмилетний сын заболел очень редким заболеванием. Мальчик лежал в реанимации детской больницы. Так вышло, что у нас одинаковая группа крови, и я поехал туда стать донором. Это было самое жуткое место, где я когда-либо бывал. Это отчаяние, витавшее в воздухе. Оно меня
20:27
Speaker A
поразило. В какой-то момент Локбит атаковал чикасскую больницу имени святого Антония, и меня это сильно взбесило.
20:41
Speaker A
В этой больнице есть детское онкологическое отделение. Если вы блокируете их системы, вы блокируете те самые аппараты, которые обеспечивают лечение детей от рака. Из-за атаки страдают невинные дети. Сделай всё правильно. Я знаю, что ты жадный, но охота на детей - это явно не твоё. В
20:59
Speaker A
моей работе есть правило: нельзя вовлекаться эмоционально и переходить на личное, потому что как только ты это делаешь, начинаешь совершать ошибки. Я действительно верил, что могу уговорить его отдать ключ расшифровки больницы, но ему было просто всё равно.
21:14
Speaker A
Меньше читай жёлтую прессу. Именно тогда я понял, что всё изменилось. В тот момент я решил, я буду работать с правоохранительными органами. Давайте достанем этого ублюдка. Я сотрудничал с ними следующие 6 месяцев, пока мы не взяли Дмитрия. ФБР и британские власти
21:31
Speaker A
ликвидировали группировку, которую они называют самыми плодовитыми вымогателями в мире. Мы разоблачили человека, скрывавшегося под псевдонимом Локбит Саб, гражданин России, известный как Локбит. Его имя Дмитрий Хорошев. Дмитрий Хорошев.
21:50
Speaker A
У Локбит, помимо прочего, был сайт для ведения переговоров с жертвами. И однажды он просто исчез. Вместо него появилось короткое сообщение: "Не совершайте преступлений. Преступление - это плохо".
22:04
Speaker A
А ниже была ссылка, по которой пользователи могли скачать копию внутренней базы данных Logit. Получается, кто-то, мы не знаем, кто взломал самих хакеров и выложил их данные в сеть. Хакеры оказались взломаны.
22:18
Speaker A
В этом массиве данных мы нашли список всех жертв, атакованных в тот период с указанием того, кто и сколько заплатил.
22:25
Speaker A
Одна компания выделялась на общем фоне. Они заплатили почти 2 млн долларов. Это была, безусловно, самая крупная сумма в списке жертв. И это была швейцарская компания.
22:37
Speaker A
Вы можете назвать компанию? Компания называется Bes and More. Это IT-провайдер из АРГАУ. Это был первый настоящий кризис в моей карьере и в истории компании. Первые 24 часа я был в полной растерянности и не знал, за что хвататься. Но, к счастью, в
23:04
Speaker A
конце концов, этот стресс превратился в энергию, которую я смог направить в нужное русло. Меня зовут Йонас Хауэштейн.
23:15
Speaker A
Я управляющий директор Bйes and More. Мы выполняем роль внешней IT-службы для многих наших клиентов.
23:26
Speaker A
Можете представить это как паутину. Мы находимся в центре, а наши клиенты на своих местах. И с каждым таким местом нас связывает виртуальная нить через интернет.
23:39
Speaker A
Хакеры не взламывали наши системы, они проникали в системы наших клиентов. Мы работали по 14 часов в день в течение 6 недель, чтобы вернуть клиентов в сеть.
23:52
Speaker A
Конечно, не все пострадали в равной степени, но мы понесли ущерб, потому что все наши устройства оказались зашифрованы.
24:00
Speaker A
Пришлось настраивать всё с нуля. Потом мы восстановили данные и продолжили работу. Мы, как компания, не платили никакого выкупа, потому что у нас была резервная копия данных. Мы не знаем, в какой степени пострадали наши клиенты и платили ли выкуп они.
24:19
Speaker A
Вы знаете что-то о том, выплачивали жертвы деньги или нет? Очевидно, что выплачивали, потому что люди получали свои данные обратно.
24:28
Speaker A
Мы связались с Байнмо, и они сказали, что не платили, и я им верю. Но деньги поступили на счета мошенников.
24:37
Speaker A
И если это были не они, значит, выкуп заплатил кто-то из их клиентов. Ты оказываешься втянутым в ситуацию, которой совсем не гордишься.
24:51
Speaker A
Появление перед камерой с такими заявлениями может негативно сказаться и на нас, и на наших клиентах.
24:59
Speaker A
Но я считаю важным высказаться и признать: на нас напали, и мы усвоили урок. Возможно, благодаря этому кто-то ещё сможет извлечь урок, даже если он не пострадал напрямую. Люди смогут увидеть реальное лицо в подобной ситуации. А такое случается нечасто.
25:20
Speaker A
Правда в том, что мишенью может стать кто угодно. Microsoft - одна из самых защищённых компаний в мире, но даже их взламывали. Так что жертвой может стать кто угодно. Я всегда говорю: "Нет ничего постыдного в том, чтобы стать жертвой.
25:34
Speaker A
Взломать могут любого. Важно лишь то, как вы с этим справляетесь". Я прекрасно понимаю, почему некоторые компании платят. Если бы у нас не было того бэкапа, вероятно, у нас тоже не было бы другого выбора. Но в конечном счёте это не та бизнес-модель, которую я
25:59
Speaker A
хочу поддерживать. Для этих людей такие атаки не должны окупаться. Если бы я мог дать одно поручение мировым лидерам, я бы сказал: "Прекратите платить выкупы. Если мы перестанем платить какое-то время, нам будет очень больно, но в итоге проблема исчезнет. Когда на государственном
26:22
Speaker A
уровне запрещают платить выкуп, вы действительно бьёте по бизнес-модели вымогателей, но последствия для атакованных компаний оказываются колоссальными.
26:36
Speaker A
Поэтому государству и правительству необходимы меры по смягчению последствий, чтобы поддержать таких жертв. Иначе работа компаний будет полностью парализована.
26:52
Speaker A
Вам необходимо защищать себя. Вы же запираете входную дверь, ставите камеры в офисе. Здесь то же самое, только в цифровой среде.
27:01
Speaker A
А риск такой атаки довольно высок. Поэтому вам нужно и самим повышать свою грамотность. Мы обязаны это делать. Это наша зона ответственности.
27:19
Speaker A
Я вырос в не самой благополучной среде. У меня был свой опыт совершения преступлений, всяких плохих дел.
27:33
Speaker A
И когда я смотрю на этих вымогателей, они же совсем дети. Может, я наивен, но я всегда стараюсь направить их на правильный путь. Я не хочу, чтобы этот парень снова стал моим врагом. В один прекрасный день я хочу взять его на
27:48
Speaker A
работу. Я и так уже много наговорил. Наверное, единственное, что оставалось сказать, теперь это произошло и с нами.
28:02
Speaker A
И я считаю важным об этом говорить, чтобы повышать осведомлённость об этой проблеме. Так много людей, которые хотят это скрыть.
28:13
Speaker A
А ведь от этого страдают очень многие компании.
Topics:кибератакаLockbitпрограмма вымогательвымогательствокибербезопасностьхакерырезервные копиидвойное вымогательствопереговоры с хакерамикибершпионаж

Frequently Asked Questions

Что такое двойное вымогательство в контексте кибератак?

Двойное вымогательство — это когда хакеры сначала крадут данные компании, а затем шифруют их, угрожая опубликовать украденную информацию, если выкуп не будет выплачен.

Какие основные способы проникновения в сеть используют хакеры?

Основные способы — социальная инженерия, когда жертва обманывается и кликает на вредоносную ссылку, и сканирование уязвимостей в инфраструктуре компании с целью получить доступ.

Почему резервные копии данных важны при атаке программами-вымогателями?

Резервные копии позволяют восстановить данные без выплаты выкупа, однако они должны быть чистыми и не повреждёнными, иначе восстановление будет невозможно.

Get More with the Söz AI App

Transcribe recordings, audio files, and YouTube videos — with AI summaries, speaker detection, and unlimited transcriptions.

Or transcribe another YouTube video here →