Catatan Editor: Tidak dapat disangkal bahwa ransomware saat ini menghasilkan pendapatan besar bagi penjahat dunia maya.
Beberapa kelompok yang ingin menjadi kaya secara agresif mendorong batasan. Mereka meningkatkan klaim mereka menjadi tujuh atau delapan angka, mengancam akan mempublikasikan data secara online jika pembayaran tidak dilakukan, dan menargetkan rumah sakit dan organisasi rentan lainnya.
Salah satu kelompok yang terkenal karena taktiknya yang berani dan menguntungkan adalah REvil, juga dikenal sebagai Sodinokibi. Grup menyediakan ransomware sebagai layanan. Pengembang menjual malware ke mitra yang menggunakannya untuk memblokir data dan perangkat organisasi.
Selain mempublikasikan data korban di Internet dalam kasus di mana perusahaan tidak memenuhi persyaratan, REvil menarik perhatian dengan upayanya untuk memeras dari Presiden Donald Trump dan mengklaim menerima $ 100 juta pendapatan dari aktivitasnya. Grup tersebut memiliki rencana besar untuk tahun 2021, menurut juru bicara REvil, yang menggunakan nama samaran Tidak Diketahui.
Beberapa klaim Unknown, seperti keberadaan afiliasi dengan akses ke sistem peluncuran rudal balistik dan pembangkit listrik tenaga nuklir, tampak luar biasa - sampai Anda membaca laporan yang membuatnya tampak sangat masuk akal.... Catatan tidak dapat memverifikasi kebenaran pernyataan ini. Unknown baru-baru ini berbicara dengan analis ancaman Recorded Future Dmitry Smilyants tentang penggunaan ransomware sebagai senjata, non-campur tangan dalam politik, bereksperimen dengan taktik baru, dan banyak lagi. Wawancara dilakukan dalam bahasa Rusia, diterjemahkan ke dalam bahasa Inggris oleh penerjemah profesional dan direvisi agar lebih jelas.
Dmitry Smilyanets: Tidak diketahui, bagaimana Anda memutuskan untuk terlibat dalam pemerasan?
UNK: Sejujurnya, itu sudah lama sekali. Sejak 2007, ketika winlockers dan sms muncul. Meski begitu, itu mendatangkan untung yang bagus.
DS: Anda menyetor $ 1 juta di forum peretas dan menyebutkan pendapatan $ 100 juta - mengingat Anda menerima pembayaran dalam cryptocurrency, Anda mungkin memiliki setengah miliar dolar hari ini. Berapa Banyak yang Cukup untuk Membuat Anda Membuang Ransomware?
UNK:Anda menghitung semuanya dengan benar. Setoran ditarik tepat karena kursus. Bagi saya pribadi, tidak ada batas jumlah. Saya suka melakukannya dan mendapat untung darinya. Tidak pernah ada terlalu banyak uang, tetapi selalu ada risiko tidak memiliki cukup uang. Meskipun, berbicara tentang pengiklan, orang mengira $ 50 juta sudah cukup dan pensiun. Namun, setelah empat bulan dia kembali - tidak ada cukup uang. Pikirkan tentang itu.
DS: Tadi tadi Saudara bilang tetap apolitis dan murni motivasi finansial. Tetapi jika Anda memutuskan bahwa Anda telah menghasilkan cukup uang, dapatkah sudut pandang Anda berubah dan Anda memutuskan untuk memengaruhi geopolitik?
UNK:Saya benar-benar tidak ingin menjadi alat tawar-menawar. Kami beralih ke politik, dan tidak ada yang baik darinya - hanya kerugian. Dengan hubungan geopolitik saat ini, kami menghasilkan banyak uang tanpa campur tangan apa pun.
DS: Apa yang membuat REvil begitu spesial? Kode? Afiliasi? Perhatian media?
UNK:Saya pikir semuanya bekerja sama. Misalnya, ini wawancara. Sepertinya, mengapa itu perlu? Di sisi lain, kami akan memberikannya lebih baik dari pesaing kami. Ide yang tidak biasa, metode baru, dan reputasi merek semuanya menghasilkan hasil yang baik. Seperti yang saya katakan, kami sedang membuat cabang pengembangan ransomware baru. Jika Anda melihat pesaing, sayangnya, banyak yang hanya meniru ide kami dan, yang paling mengejutkan, gaya teks pesan kami. Ini bagus - mereka mencoba menunjukkan bahwa mereka tidak lebih buruk dari kita, mereka mencoba mencapai level kita dan bahkan berusaha untuk melampaui dalam sesuatu. Misalnya, dengan versi Linux ini dan sebagainya. Tapi ini hanya sementara. Tentu saja, kami juga mengerjakan semua ini, tetapi dengan satu peringatan - semuanya akan jauh lebih baik. Karena itu, sedikit lebih lambat.
REvil menggunakan "Happy Blog" di darknet untuk mengiklankan lelang bagi korban ransomware tidak berbayar.
JS: Elliptic Curve Cryptography (ECC) adalah pilihan yang sangat bagus [catatan editor: ECC memiliki ukuran kunci yang lebih kecil daripada sistem kunci publik berbasis RSA, yang membuatnya menarik bagi afiliasi] apa lagi yang Anda banggakan, bagian mana dari kodenya ? Bagaimana Anda memutuskan kapan menambahkan fitur baru ke kode Anda?
UNK: Pencarian IOCP, koneksi balik yang dipinjam dari kepiting [carders], perlindungan sisi server - banyak keuntungan, ulasan baca yang lebih baik. Secara pribadi, saya sangat menyukai sistem enkripsi. Ternyata hampir sempurna.
DS:Saya terkesan dengan variasi pengemas dan ransomware yang saya temukan di malware Anda. Apakah Anda menjualnya kepada orang lain? Saya pernah melihat salah satunya digunakan dalam sampel malware Maze. Apakah Anda menjualnya atau salah satu karyawan Anda pergi ke pesaing?
UNK: Mitra sering berpindah-pindah, karena itu bermacam-macamnya.
DS: Pavel Sitnikov bilang kamu membeli kode GandCrab dari Maxim Plakhtiy, benarkah itu?
UNK : Memang benar kami membelinya, tapi kami tidak tahu nama dan barangnya.
DS: Apakah Anda percaya bahwa ransomware adalah senjata yang sempurna untuk perang dunia maya? Apakah Anda tidak takut suatu hari perang sungguhan akan dimulai?
UNK:Ya, senjata ini bisa sangat merusak. Saya tahu dari beberapa afiliasi yang memiliki akses ke sistem peluncuran rudal balistik, satu ke kapal penjelajah Angkatan Laut AS, satu ke pembangkit listrik tenaga nuklir, dan satu ke pabrik senjata. Sangat mungkin untuk memulai perang. Tapi itu tidak sepadan - konsekuensinya buruk.
DS: Apa wilayah lain selain CIS [kebanyakan republik pasca-Soviet] yang Anda coba hindari? Organisasi mana yang tidak pernah membayar?
UNK: Semua negara CIS, termasuk Georgia dan Ukraina. Terutama karena geopolitik. Kedua, karena hukum. Ketiga, kami menghindari beberapa karena patriotisme. Negara-negara yang sangat miskin tidak membayar: India, Pakistan, Afghanistan, dan sebagainya.
DS:Anda menyebutkan sebelumnya bahwa Anda dan mitra Anda memahami risiko pergi ke luar negeri dan tidak bepergian. Apakah menurut Anda "angin perubahan" dapat bertiup dan lembaga penegak hukum setempat akan memperhatikan operasi Anda?
UNK: Jika kita terjun ke politik, ya. Jika kita melihat negara-negara CIS, ya. Dalam semua hal lainnya, kami tetap netral.
DS: Apakah penjahat sekolah lama menyebabkan masalah?
UNK: Tidak.
DS: Apa reaksi Anda yang biasa ketika Anda melihat sekelompok pemeras atau afiliasinya dituntut atau ditangkap? Netwalker dan Egregor mengurangi operasinya setelah penggerebekan, bagaimana perasaan Anda tentang itu?
UNK:Netral. Ini adalah alur kerja normal. Karena Maze ditutup, kami hanya menambah jumlah partner. Jadi bagi kami, saya akan mengatakan, dalam arti tertentu, itu positif.
DS: Berapa jumlah maksimum afiliasi yang bekerja dengan Anda pada saat yang sama?
UNK: 60.
JS: Apakah mereka keluar karena terlibat dengan ransomware, atau karena mereka mulai bekerja dengan program lain untuk mendapatkan tarif yang lebih baik? Apakah Anda menghadapi masalah ketika seorang mitra pergi ke pesaing?
UNK:Ada dua pilihan. 30% pergi karena mereka telah mendapatkan cukup uang. Tapi, tentu saja, cepat atau lambat mereka selalu kembali. Dalam kasus kedua, ya, mereka pergi ke pesaing yang melakukan dumping (hingga 90%, dll.). Tentu saja, ini tidak menyenangkan, tetapi ini adalah persaingan. Ini berarti kita harus memastikan bahwa orang-orang akan kembali. Beri mereka apa yang orang lain tidak.
DS: Beberapa band menyumbangkan sebagian dari penghasilan mereka untuk amal. Apa pendapat Anda tentang ini? Kepada siapa Anda ingin menyumbangkan satu juta?
UNK: Proyek gratis untuk mengembangkan alat anonimisasi.
DS: Bagaimana interaksi Anda dengan organisasi korban berubah sejak awal pandemi?
UNK:Banyak yang telah berubah. Krisis dirasakan, mereka tidak bisa membayar jumlah yang sebelumnya. Kecuali untuk perusahaan farmasi. Saya pikir mereka harus diberi perhatian lebih. Mereka baik-baik saja. Kami perlu membantu mereka.
DS: Apakah operator Anda menargetkan organisasi yang memiliki asuransi cyber?
UNK: Ya, ini adalah salah satu hidangan paling enak. Terutama jika Anda pertama kali meretas perusahaan asuransi - dapatkan basis klien mereka dan bekerja dengan sengaja. Dan setelah melalui daftarnya, Anda dapat mengambil alih asuransi itu sendiri.
DS: Bagaimana perasaan Anda tentang negosiator ransomware? Apakah lebih mudah berurusan dengan profesional? Apakah mereka membantu atau memperumit tugas?
UNK:70% dibutuhkan hanya untuk menurunkan harga. Mereka sering memperumit tugas. Misalnya, perusahaan memiliki pendapatan $ 1 miliar. Mereka diperas $ 1 juta. Seorang negosiator datang dan berkata: kami tidak peduli, kami tidak akan memberi lebih dari $ 15.000. Mengurangi harga menjadi $ 900.000. Dia menawarkan $ 20.000. Nah, kemudian kami menyadari bahwa berbicara dengannya tidak ada artinya, dan kami mulai menerbitkan data sehingga pemilik jaringan akan memukul kepalanya untuk negosiasi semacam itu. Dan, tentu saja, setelah trik seperti itu, harganya hanya akan naik. Alih-alih $ 1 juta, mereka akan membayar satu setengah juta. Tidak ada yang suka pedagang asongan, terutama yang pamer. Jadi lebih sering daripada tidak, mereka melakukan lebih banyak kerusakan. Mereka hanya membantu saat membeli BTC atau Monero. Segala sesuatu yang lain berbahaya.
DS:Apakah Anda merekomendasikan negosiator tertentu kepada perusahaan yang dikompromikan, atau apakah mereka mencarinya sendiri? Tidak semua orang memiliki 100 BTC untuk membeli kembali data, dan tidak mudah untuk mendapatkannya dalam waktu singkat.
UNK: Kami menulis kepada perantara yang layak sehingga mereka tahu tujuan dan bisa menjalin dialog. Kami memberikan diskon yang bagus untuk pengecer yang bagus sehingga mereka mendapat untung kecil dan perusahaan membayar lebih sedikit. Adapun waktunya, kami selalu dapat mengalokasikan waktu tambahan. Secara umum, jika ada pemahaman bahwa Anda harus membayar, tetapi tidak terlalu banyak, kami akan menemukan bahasa yang sama. Tetapi jika kami mendapatkan pesan gila seperti "Tidak ada uang" atau "Kami akan membayar sepersepuluh," Anda tidak akan menyalahkan siapa pun kecuali diri Anda sendiri.
Tautan ke serangan REvil dikompilasi dari sumber pribadi dan rahasia. Atas kebaikan Recorded Future.
DS: Anda mengatakan ingin memberikan tekanan tambahan dengan DDoS. Seberapa efektif skema ini?
UNK: Kami jarang menggunakannya, tidak seperti panggilan. Menelepon memberikan hasil yang sangat bagus. Kami menyebut setiap target, serta mitra dan jurnalis mereka - tekanan meningkat secara signifikan. Dan setelah itu, jika Anda mulai menerbitkan file, itu bagus. Tetapi mengakhiri DDoS berarti membunuh perusahaan. Secara harfiah. Saya pikir kami akan menuntut para CEO dan / atau pendiri perusahaan. OSINT pribadi, penindasan. Saya rasa ini juga akan menjadi pilihan yang sangat menarik. Tetapi para korban harus memahami bahwa semakin banyak sumber daya yang kita keluarkan sebelum tebusan dibayarkan, semakin banyak yang harus kita bayarkan.
DS: Ceritakan sebuah rahasia.
UNK:Sebagai seorang anak, saya mengobrak-abrik tong sampah dan menghisap puntung rokok. Saya berjalan kaki sejauh 10 km ke sekolah. Saya memakai pakaian yang sama selama enam bulan. Di masa muda, saya tidak makan di apartemen komunal selama dua atau tiga hari. Sekarang saya seorang jutawan.