Статистика DoppelPaymer: кого, коли та де вони зламують – на основі нещодавніх звалищ даних

Нижче наведено аналіз мною (особою) метаданих із нещодавніх дампів даних DoppelPaymer на Darknet. Остання звалища з’явилася сьогодні (23 квітня 2020 р.). Це не поглиблений аналіз усіх вичерпних даних, доступних для групи загроз DoppelPaymer, це лише деякі ідеї, які я отримав, проводячи дослідження Darknet, якими я хотів поділитися з широкою спільнотою.

Хто такі DoppelPayer і чим вони займаються?

DoppelPaymer – це група “двоствольних” загроз, яка спільно використовує програми-вимоглювачі та вилучення даних. Вони проводять цілеспрямовані атаки на своїх жертв, шифрують дані за допомогою програми-вимогателя та намагаються чинити тиск, щоб сплатити викуп, також видобуваючи дані та погрожуючи публічно їх оприлюднити. Ця двоствольна загроза є загальноприйнятим способом роботи з передовими групами-вимагателями, такими як DoppelPaymer, REvil або Maze.

Я зацікавився DoppelPaymer, коли натрапив на сторінку Darknet, де вони публікують свої поточні дампи даних. За їх словами, смітники від компаній, які не готові платити викуп. Це означає, що звалища даних, ймовірно, є лише часткою всіх жертв DoppelPaymer. Вони не публікують дані організацій, які вирішили заплатити викуп. Тому ми повинні припустити, що фактична кількість заражених організацій вища.

Ця публікація не стосується жодного витоку вмісту, і я також не буду ділитися посиланням на Darknet – з міркувань безпеки (жертви та дослідники – я завжди вважаю, що ці дампи даних потрапляють у мінливий спосіб). Цей аналіз ґрунтується виключно на метаданих дампів даних.

На веб-сайті Darknet DoppelPaymer перелічено дампи даних 22 організацій на даний момент. Зовнішній вигляд веб-сайту дуже Web 2.0, і вони надають різну статистику щодо окремих витоків – наприклад, коли було завантажено витік, коли оновлено та скільки переглядів сторінок має кожен витік.

Це дозволило мені створити часову шкалу нижче. Він охоплює галузь, географію, дату та час завантаження та перегляди сторінок (скільки людей переглядало сміттєзвалища на веб-сайті Darknet). Я позначив кольором географію:

Ці дані дозволяють подальшу візуалізацію на основі цільової географії, галузі та переглядів сторінок. Будь ласка, майте на увазі, що це дещо невеликий набір даних n = 22, тому приймайте його з дрібкою солі. Я все ще думаю, що з цього можна зробити висновок про деякі екстраполяції та припущення щодо DoppelPaymer.

Цільові географії

Що в цьому цікавого?

Здається, що більшість жертв перебувають у США та Європі. З мовної точки зору, цільові організації, як видається, переважно англійська, арабська, що говорять французькою мовою. Чи говорить це щось нам про мовні можливості цієї групи?

Якщо ви зламаєте організацію, ви повинні мати принаймні середній рівень розуміння мови цілі залежно від того, чого ви намагаєтесь досягти. Відомо, що DoppelPaymer веде переговори зі своїми жертвами та проводить цілеспрямовані атаки – це означає, що потрібен дещо досвідчений рівень вільного володіння мовою цілі.

Кожен хакер, який опинився в середовищі, де вони не володіють мовою або не розуміють набору символів (наприклад, кирилицею), буде знати, наскільки це ускладнює втручання.

Цільові галузі

Що тут істотного?

Ми бачимо, що трьома основними галузями діяльності є:

Виробництво (23%)

Логістика (18%)

Фінанси (14%)

Це говорить нам про те, що екіпаж DoppelPaymer добре усвідомлює вплив, який їхні програми-вимагателі матимуть на операції жертв та промисловість. Це не вибіркове програмне забезпечення, як WannaCry. Виробництво та логістика зазнають значних фінансових збитків щодня їх інвентар стоїть на місці, або їх машини не можуть виробляти через те, що їх ІТ-системи тримаються під викуп. Передбачається, що фінанси мають великий грошовий потік, а також часто сприймаються хакерськими групами як “істеблішмент” або “об’єднання капіталізму” – таким чином малюючи їх як привабливу ціль для таких груп, як DoppelPaymer.

Час завантаження дампів даних

У наведеному вище я побудував графік часу завантаження кожного дампа даних до відповідного дня.

Що це нам говорить?

Схоже, в кінці лютого відбувся сплеск активності, і зараз, наприкінці квітня, трапляється черговий сплеск активності, майже щоденний звал даних.

Однак ми повинні пам’ятати, що дампи даних представляють лише організації, які не заплатили викуп – тому може бути набагато більше активності для дат, які на графіку вище відображаються „порожніми“.

Дивлячись на час завантаження, виявляється, що більшість із них припадає на пізній вечір до нічного часу (UTC) або на ранній ранковий час. З цього важко зробити висновки, особливо припускаючи, що завантаження, звичайно, можуть бути автоматизовані, або час завантаження може бути фальшивим – або якщо припустити, що кільком людям доручено завантажувати звалища, і ці люди живуть у різних часових поясах. Однак цей останній пункт мені здається малоймовірним із причин, до яких я трохи піду.

Як для європейця, цей час завантаження (час роботи) здається чудовим для того, хто живе в європейському часовому поясі (від пізнього вечора до нічного часу).

Більше аналізів можна зробити, наклавши суттєві події на вищезазначені терміни завантаження – наприклад, початок COVID-19, блокування в різних країнах, інші великі події, такі як державні свята в певних країнах тощо. Я залишу це для завзятого читача, щоб він зробив для себе.

Розподіл за переглядами сторінок

Мені було цікаво побачити, які звалища цікавлять відвідувачів Darknet. Можливо, це щось нам говорить про відчутну цінність отримання вашої руки на смітнику фінансового інституту проти отримання доступу до виробничих даних?

Подивившись дані, я думаю, що цифри занадто малі, і тут надто багато випадкових факторів, що вступають у гру, щоб зробити розумні висновки. Випадкові фактори: в перегляді дампів даних для подальших атак або продажу на дампах.

Я опублікував необроблені цифри в розбитті нижче для тих, хто цікавиться проводити власні аналізи:

Заключні думки

Які ще висновки ми можемо зробити з цього?

Будучи сам червоним командником, я зачарований тим, як працюють організовані хакерські групи. Як вони координуються? Як вони розділяють роботу? Скільки вторгнень вони можуть впоратись у будь-який момент часу? Вони ходять жорстко і швидко (розбивають і хапають), або дотримуються олдскульних, низьких і повільних підходів?

Мій головний інтерес у наведеному аналізі полягав у тому, щоб отримати трохи більше уявлень про банду DoppelPaymer – зокрема, зрозуміти, скільки робочої сили та якими навичками вони володіють.

Здається, вони можуть впоратися з кількома вторгненнями одночасно (дампи даних послідовно). Здається, вони можуть розмовляти декількома мовами до певного середнього рівня знань (арабською, французькою, англійською). Я б припустив, що вони є

(Принаймні) одна спеціалізована особа для “взаємодії з клієнтами”

(Принаймні) одна людина для завантаження та обслуговування даних Darknet, а також загальних соціальних мереж та інфраструктури

(Принаймні) одна людина для обробки криптовалют і грошових потоків

(Принаймні) одна людина, яка повинна розробити та підтримувати свої програми-викупники / інструменти

Кілька спеціалістів із вторгнення, які займаються зломкою хліба та масла (початковий компроміс, бічний рух, вилучення даних) – можливо 2-4 особи

Це додає до 6-8 людей у внутрішньому ядрі, ймовірно, з більшою кількістю людей, задіяних на периферії (селектори цілей та помічники OSINT, якісь мули тощо). Мені здається, це реальна цифра, якщо подумати про накладні витрати (більше спілкування, втрата контролю, більший ризик появи родимки / витоку, …) при проведенні більших операцій та команд.

Як це порівняно з іншими „професійними” групами злому?

Існує мало даних про групи злому, які не є червоними командами. Я не хочу порівнювати комерційні червоні команди проти кібер-злочинних груп (їх ТТП та мотивація різні). Однак є щонайменше 2 цікаві приклади, які можна використати для порівняння цього:

Проект Ворон

Кіберкомандування США

Незважаючи на те, що жодне з двох не вказує точних чисел робочої сили, деякі наближення можна отримати при зчитуванні між рядками (розмір операції, розміри цілей, фізичне житло, що використовується для запуску операції). Це занадто сильно підірвало б цю статтю, щоб детально детально розглядати дві вищезазначені операції.

Я хотів би почути ваші коментарі, відгуки та думки з цього приводу. Також незабаром я надам TL; DR на своєму Twitter @shelldaemon.

Залишатися в безпеці!

Спочатку ця публікація була опублікована за адресою https://www.linkedin.com/pulse/insights-doppelpaymer-who-when-where-hack-based-data-dumps/.

Maximilian Heinemeyer люб’язно дозволив нам перекласти і опублікувати цю статтю.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: