6-річна турецька хакерська атака довела, що дрібні цілі приносять прибуток

Шість років - це вічність у сфері кібербезпеки. Більшість груп ransomware не протримуються й шести місяців, перш ніж правоохоронні органи вибивають їм двері. Але хтось атакував турецький малий бізнес і домашні комп'ютери з вимогами викупу $200-400 з 2020 року, і ніхто цього не помічав до цього тижня.

Цифри розповідають історію, яку має почути кожен керівник платформи: за даними Dark Reading, Звіт Verizon про розслідування порушень даних 2025 року виявив ransomware у 88% інцидентів порушення МСБ, проти лише 39% у великих організаціях. Це не помилка. Малий бізнес атакують більш ніж удвічі частіше за великі корпорації, поки постачальники безпеки продовжують пропонувати інструменти, призначені для SOC компаній Fortune 500.

Цифри

Давайте поговоримо про те, що означає шість років незвиявленої діяльності. Більшість операцій ransomware вимірюють свій життєвий цикл кварталами, а не півдесятиліттями. REvil протримався два роки. DarkSide отримав три місяці до того, як Colonial Pipeline зробив їх занадто помітними. Ця турецька операція пережила їх усіх, залишаючись нудною.

Вимоги викупу коливаються від $200 до $400 за жертву. На перший погляд це здається дрібничками в епоху восьмизначних викупів. Але порахуйте обсяги. Вдарте по 100 цілях на місяць за середньою ціною $300, і ви отримуєте $360,000 щорічно. Це стійкий дохід без уваги ЗМІ та мінімального інтересу правоохоронних органів.

Саме зловмисне ПЗ є кастомним варіантом Adwind RAT, інструменту віддаленого доступу на базі Java, що існує з 2012 року. Ніяких zero-day. Ніякої складності на рівні держав. Просто комерційне зловмисне ПЗ з доданим плагіном ransomware під назвою "JanaWare". Операція перевіряє налаштування турецької мови та IP-геолокацію перед виконанням, навмисно тримаючи радіус ураження малим.

Моя думка: ось як виглядає стійкий кіберзлочин. Не гучні порушення, що потрапляють у заголовки, а методичне, систематичне вилучення вартості з м'яких цілей. Сантьяго Понтіролі з підрозділу дослідження загроз Acronis влучно сказав: "Атаки на великі підприємства зазвичай привертають увагу ЗМІ та тиск правоохоронних органів, тоді як менші інциденти часто залишаються незареєстрованими."

Технічний стек відображає цю філософію. Зловмисне ПЗ відключає Microsoft Defender, блокує оновлення Windows, придушує сповіщення безпеки та усуває варіанти відновлення. Стандартні тактики, що працюють, бо більшість МСБ використовують конфігурації за замовчуванням. Не потрібні складні методи уникнення, коли ваші цілі не мають EDR.

Ця статистика 88% порушень МСБ, що містять ransomware, проти 39% для великих організацій - це не просто цифра. Це обвинувачення того, як ми побудували індустрію безпеки. Ми оптимізували захист топ-5% організацій, залишивши інші 95% захищатися антивірусом споживчого рівня та сподіваннями.

Що дійсно нове

Новизна не в зловмисному ПЗ. Варіанти Adwind RAT переробляли більше разів, ніж я бачив кластери MongoDB, відкриті в інтернеті. Що нове - це доказ того, що полювання на дрібну здобич працює у масштабі, коли ви віддаєтеся цьому.

Попередні припущення стверджували, що економіка ransomware підштовхує операторів до більших цілей. Навіщо збирати викупи $300, коли можна вимагати $3 мільйони? Ця кампанія доводить, що протилежна стратегія має перспективи. Понтіролі добре це пояснює: "Легше скомпрометувати менших жертв, використовуючи масштабовані техніки як фішинг, вони зазвичай мають слабший захист, і вони часто більш схильні швидко платити."

Географічний фокус представляє інший відхід від стандартних операцій ransomware. Більшість груп кидають широкі сіті, використовуючи партнерські моделі для атак цілей глобально. Ця операція строго націлена на Туреччину, перевіряючи як IP-локацію, так і налаштування мови системи перед розгортанням. Це не технічне обмеження; це операційна дисципліна.

Неприємне читання: ця кампанія досягла успіху саме тому, що уникала інновацій. Поки постачальники безпеки переслідують AI-загрози та zero-day експлоїти, хтось довів, що можна проводити шестирічну операцію з 14-річним зловмисним ПЗ, якщо правильно вибрати цілі. Це має жахати кожного CISO, який фокусувався на складних постійних загрозах, ігноруючи базову гігієну.

Сам механізм персистентності розповідає історію. Зловмисне ПЗ просто реєструє себе для запуску при старті. Ніяких руткітів. Ніяких імплантів прошивки. Просто додавання себе до реєстру Windows, як у 2010 році. І це працювало шість років, бо МСБ не мають команд безпеки, що перевіряють автозапуски.

Що закладено в цінах для команд безпеки

Команди безпеки великих підприємств вже знають, що МСБ - м'які цілі. Це була загальноприйнята мудрість назавжди. Що не закладено в цінах - це масштаб і стійкість ексклюзивного фокусування на цьому сегменті ринку.

Більшість моделей загроз припускають, що атакуючі переходять від малих цілей до великих у міру дозрівання. Ця кампанія провела шість років, роблячи протилежне. Вони знайшли прибуткову нішу і залишилися там, невидимими для каналів розвідки загроз, що фокусуються на мисливців за великою здобиччю.

Використання зловмисного ПЗ на базі Java було передбачуваним. Кросплатформна сумісність важлива, коли ви атакуєте різноманітні середовища МСБ. Що не було передбачуваним - хтось використовував той самий базовий набір інструментів шість років без розширення функцій. Більшість авторів зловмисного ПЗ не можуть втриматися від додавання можливостей. Ця група підтримувала дисципліну.

Ризик ланцюга поставок - це аспект, про який ніхто не говорить. Понтіролі натякає на це: "Навіть коли націлюються на менші організації, можуть бути наслідки вниз за течією, особливо якщо ці організації є частиною ланцюга поставок або надають послуги іншим." Кожне підприємство має десятки малих постачальників з VPN-доступом. Скільки з них використовують Windows турецькою мовою з відключеними оновленнями?

Протилежна точка зору

Ось що всі пропускають: можливо, це не про те, що МСБ - легкі цілі. Можливо, це про те, що підприємства стали неможливими цілями.

Вартість порушення належно захищеного підприємства зросла до небес. EDR, SIEM, SOC-команди, полювання на загрози, архітектури нульової довіри. Захисний стек Fortune 500 виявив би цей варіант Adwind за хвилини. Економіка більше не працює, якщо ви не фінансуєтеся державою або не влучаєте в джекпоти кіберстрахування.

Ця турецька операція може представляти майбутнє ransomware: стійке, нудне, прибуткове. Як email-спам, це працює в обсягах з крихітними маржами. Індустрія продовжує готуватися до Stuxnet 2.0, пропускаючи те, що кіберзлочин стає бізнесом обсягів.

Шестирічний період також може бути перебільшеним. Acronis каже, що кампанія "можливо, тихо працювала принаймні з 2020 року". Це обережна мова. Ми можемо дивитися на кілька операцій, що використовують подібні інструменти, а не одного постійного актора. Турецький фокус може бути випадковою кластеризацією, а не стратегічним вибором.

Ключові висновки

• Обсяг перемагає вартість: Викупи $200-400 через сотні МСБ генерували стійкий дохід протягом 6 років без привертання уваги правоохоронних органів
• 88% порушень МСБ включають ransomware проти 39% у великих підприємств (Verizon 2025 DBIR). Ваші постачальники ланцюга поставок майже напевно скомпрометовані
• Географічний фокус працює: Обмеження цілей лише Туреччиною уникало міжнародної уваги та ускладнювало атрибуцію
• Нудне зловмисне ПЗ виживає: 14-річні варіанти Adwind RAT досі працюють проти організацій без команд безпеки
• У індустрії безпеки є проблема з МСБ: Інструменти та розвідка загроз фокусуються на корпоративних загрозах, поки 95% бізнесів використовують Windows Defender і сподіваються

Для команд безпеки повідомлення зрозуміле: спершу проведіть аудит найменших постачальників вашого ланцюга поставок. Для МСБ, що читають це: якщо ви використовуєте налаштування безпеки Windows за замовчуванням, ви вже скомпрометовані. Ви просто ще цього не знаєте.