Группировка The Gentlemen рухнула из-за утечки данных

Обзор события

Мир кибербезопасности стал свидетелем редкого момента, когда охотник превратился в жертву. «The Gentlemen», известная группировка, занимающаяся программами-вымогателями и атаковавшая в последнее время множество организаций, допустила утечку собственных данных из-за критической ошибки в операционной безопасности (OPSEC). Этот инцидент, ставший достоянием общественности 14 мая 2024 года, открыл беспрецедентное окно во внутренние операции, организационную структуру и тактику группы. Утечка демонстрирует, насколько уязвимы сами киберпреступники в цифровом мире и как даже малейшая ошибка может разрушить целую империю.

Событие произошло, когда командно-контрольный (C2) сервер, используемый группой, был неверно сконфигурирован, что сделало его общедоступным. Эта уязвимость, обнаруженная исследователями безопасности, раскрыла все внутренние коммуникации группы, исходные коды, информацию о партнерах (аффилиатах) и данные жертв. Группировка «The Gentlemen» была особенно известна своей моделью «Программа-вымогатель как услуга» (Ransomware-as-a-Service - RaaS). В этой модели основная группа, разрабатывающая программу-вымогатель, сдает ее в аренду другим киберпреступникам, получая долю от доходов с атак. Утечка доказывает, насколько прибыльной и привлекательной была эта модель RaaS.

Утекшие данные и их масштаб

Масштаб и содержание утечки представляют собой настоящую сокровищницу как для исследователей безопасности, так и для правоохранительных органов. Среди утекших данных содержится крайне чувствительная и критически важная информация:

• Исходные коды: Были слиты полные исходные коды как шифровальщика, так и дешифратора программы-вымогателя «The Gentlemen». Это может стать лучом надежды для прошлых и нынешних жертв группы. Компании по безопасности могут проанализировать эти коды, чтобы потенциально разработать бесплатный дешифратор, что позволит жертвам восстановить свои данные, не платя выкуп.
• Журналы внутренней переписки: Были раскрыты тысячи часов чат-логов между членами группы и их партнерами. Эти записи подробно раскрывают иерархическую структуру группы, процессы принятия решений, критерии выбора целей и модели распределения доходов.
• Информация о партнерах (аффилиатах): Был слит список партнеров, являющихся основой модели RaaS, включая их псевдонимы, адреса криптовалютных кошельков и показатели успеха. Это предоставляет правоохранительным органам значительную возможность для выявления и задержания многочисленных киберпреступников по всему миру.
• База данных жертв: Список компаний, ставших целями группы, суммы требуемых выкупов, информация о том, кто заплатил, и детали переговорных процессов также оказались среди утекших данных. Это несет серьезный репутационный риск для компаний, которые не раскрывали публично информацию об атаке.

Технический аспект атаки

Что делает этот инцидент особенно интересным, так это то, что группировка «The Gentlemen» стала жертвой не другой группы, а собственной неосторожности. Операционная безопасность (OPSEC) — это процесс, посредством которого организация или отдельное лицо избегает действий, которые могут раскрыть конфиденциальную информацию противнику или конкуренту. Именно в этом «The Gentlemen» и потерпели неудачу.

Технически источником утечки стало неверно сконфигурированное правило брандмауэра на сервере, где хранились все их операционные данные. Эта ошибка привела к тому, что определенные каталоги и базы данных на сервере стали полностью открытыми для интернета. Такая ошибка часто является результатом спешки, неопытности или простой халатности и показывает, что даже самые изощренные киберпреступные группы могут пренебрегать основными принципами безопасности.

Технической моделью, стоявшей за успехом группы, была RaaS. Программа-вымогатель как услуга (RaaS) может рассматриваться как «франчайзинговая» модель киберпреступности. Основные разработчики, такие как «The Gentlemen», создают сложную программу-вымогатель, управляют инфраструктурой и оказывают техническую поддержку. Партнеры, в свою очередь, используют эту «услугу» для проникновения в цели, развертывания программы-вымогателя и ведения переговоров. Полученный доход обычно делится между основной группой и партнером в пропорциях 80/20 или 70/30. Утекшие данные показывают, что «The Gentlemen» предлагали очень щедрую модель распределения, с долей до 85%, что позволило им за короткое время привлечь большое количество талантливых киберпреступников.

Кто пострадал

Эта утечка, в отличие от большинства, затрагивает не конечных пользователей или одну компанию, а саму экосистему киберпреступности. Пострадавшие стороны можно перечислить следующим образом:

• Группировка «The Gentlemen» и ее партнеры: Они являются основными жертвами утечки. Их личности, методы и финансовая информация теперь раскрыты. Это не только увеличивает риск их поимки правоохранительными органами, но и делает их целями для конкурирующих киберпреступных группировок.
• Прошлые жертвы: Для компаний, заплативших выкуп или чьи данные были зашифрованы, эта утечка может стать хорошей новостью. Дешифратор, разработанный на основе утекших исходных кодов, может позволить им восстановить свои данные.
• Потенциальные жертвы: С крахом группы угроза от этой конкретной банды нейтрализована, по крайней мере, на время. Однако вполне вероятно, что партнеры группы перейдут на другие RaaS-платформы.
• Сообщество кибербезопасности: Для исследователей эта утечка — бесценная возможность изучить анатомию современной RaaS-операции. Анализируя тактики, методы и процедуры (TTP) группы, можно разработать более эффективные механизмы защиты от подобных атак в будущем.

Что вам следует делать

Этот инцидент — еще одно напоминание о том, насколько важна кибербезопасность для обеих сторон. Вот уроки, которые следует извлечь, и шаги, которые необходимо предпринять организациям и частным лицам:

Для организаций:

• Соблюдайте основы гигиены безопасности: Даже самые сложные атаки часто используют базовые уязвимости. Надежные парольные политики, многофакторная аутентификация (MFA) и регулярные обновления систем жизненно важны.
• Управление активами и контроль конфигурации: Знайте все свои активы, доступные из интернета, и регулярно проверяйте их конфигурации безопасности. Ошибка, допущенная «The Gentlemen», может случиться с любой компанией.
• Сокращайте поверхность атаки: Усложните задачу потенциальным злоумышленникам, закрыв ненужные порты и службы.
• План резервного копирования и восстановления: Внедрите правило резервного копирования 3-2-1 (3 копии данных, на 2 разных носителях, 1 копия вне офиса). Это единственный способ восстановить данные после атаки программы-вымогателя, не платя выкуп.

Для прошлых жертв:

Если вы пострадали от атаки «The Gentlemen», следите за новостями в области кибербезопасности и блогами авторитетных компаний. Существует высокая вероятность того, что в ближайшие дни или недели будет выпущен бесплатный дешифратор.

Реакция мира кибербезопасности

Как и ожидалось, официального заявления от группировки «The Gentlemen» не последовало. Киберпреступные группы в таких ситуациях обычно замолкают, отключают свою инфраструктуру и пытаются замести следы. Однако обсуждения на форумах в даркнете указывают на широкую панику и взаимные обвинения внутри группы. Партнеры обвиняют основных разработчиков в некомпетентности, а репутация и доверие к группе полностью уничтожены. Это событие также глубоко пошатнуло динамику доверия в экосистеме RaaS.

В заключение, утечка «The Gentlemen» войдет в историю как поучительный пример, демонстрирующий, что мир киберпреступности не является неприкосновенным и что даже самые, казалось бы, могущественные игроки могут быть свергнуты из-за простой ошибки.

Kaynak

https://www.darkreading.com/threat-intelligence/gentlemen-raas-gang-data-leak