Имя: Данчо Данчев / Dancho Danchev
Род занятий: ИБ исследователь, OSINT специалист
Специализация: Киберкрайм, Darknet && OSINT
Cтрана: Болгария
Twitter: https://twitter.com/dancho_danchev
Russian OSINT: Данчо, расскажи немного о себе для русскоязычной аудитории, кто ты такой и чем занимаешься?
Dancho Danchev: Меня зовут Данчо Данчев. Мне больше 37 лет, являюсь компьютерным энтузиастом, олдом и экс-хакером из Болгарии. С 2005 года занимаюсь расследованиями в области киберпреступлений, веду блог по OSINT под названием Dancho Danchev's Blog. Считаю себя одним из ведущих мировых исследователей и наиболее цитируемым в области киберкрайма. Еще одна из моих специальностей это Threat intelligence, активно слежу за угрозами на сцене киберпреступности.
Russian OSINT: Понятно) А чем конкретно занимаешься, кто твои заказчики услуг?
Dancho Danchev: Может прозвучит странно, но я постоянно в поиске новой работы и карьерных возможностей, которые позволят мне использовать доход для проведения дальнейших исследований. Сейчас заведую своей лабораторией 24/7, где занимаюсь исследованиями по киберкрайму и веду блог, который посетили более 5.6 миллионов раз. Он был запущен в декабре 2005 года, считаю неплохим достижением для одиночки вроде меня.
На постоянной основе занимаюсь OSINT исследованиями, которые предусматривают борьбу с различного рода киберпреступностью. Сюда входит threat intelligence research и cybercrime research для самой широкой аудитории - U.S Law Enforcement (Органы правопорядка США) и U.S Intelligence Community (Разведывательное сообщество США)
Также в рамках своей деятельности вовлечен в OSINT операцию "Uncle George" вместе с правоохранительными органами США, так например мною собран Cybercrime Forum Data Set за 2019 год весом 16 Гб (база данных) и архивом в 1 миллион собранных веб-страниц с различных киберпреступных форумов.
Полученная информация с киберпреступных форумов помогает правоохранительным органам и разведывательному сообществу США преследовать киберпреступников, а затем судить их по закону. Моя цель закрыть подобные нелегальные сообщества.
Еще вовлечен в деятельность, которая связана с борьбой против Ransomware (шифровальщики). Мною собран Technical Collection, содержащий базу больше 3000 персональных email адресов относящихся к ransomware группировкам и одиночкам, а также тем, кто причастен к этой криминальной деятельности.
Некоторое время назад занимался выслеживанием хакеров, имеющих отношению к Ирану и опубликовал 2 публичных отчёта, которые содержали информацию о самых разыскиваемых преступниках ФБР "FBI's Most Wanted Cybercriminals". В отчетах была указана релевантная информация об инфраструктуре этих криминальных элементов. Основной мой клиент это рынок кибербезопасности и всё что связано киберкраймом. Сюда относятся как я говорил U.S Law Enforcement и U.S Intelligence Community.
Russian OSINT: Это правда, что ты знаешь практически всех серьёзных теневых игроков андерграунда?
Dancho Danchev: Мы живем в небольшом мире и несмотря на то, что большую часть своего времени я занимаюсь изучением киберкрайма и threat intelligence, через 4-ые лица мне удается пассивно без взаимодействия напрямую с киберкраймом собирать о них информацию. Тебе не нужно самому становиться преступником, чтобы поймать преступника.
Одна из самых важных вех в моей личной карьере - встреча с некоторыми людьми, с которыми прямо или косвенно я работал на протяжении многих лет. Вторая по важности веха в моей карьере - прямое предложение по работе с Webroot, там работал в 2012-2014 годах в качестве блогера по безопасности.
В один конкретный момент я стал чрезвычайно популярен благодаря своим исследованиям, а это означает, что у меня появилось множество поклонников по всему миру, в том числе и плохие парни. Раньше у меня даже был свой "Украинский фан-клуб", который регулярно "приветствовал" меня сообщением в инфраструктуре C&C по рассылке вредоносных программ, включая печально известную Russian Business Network, в какой-то момент они даже присылали мне "поздравления" за мои проведенные расследования.
Russian OSINT: Что тебе больше всего нравится в своей работе?
Dancho Danchev: Больше всего нравится на регулярной основе собирать базы угроз и обрабатывать их по своей методологии, такой способ помогает образовать базу знаний о кибератаках и атрибуции к группировкам. Проверяю перекрестные ссылки и всю имеющуюся у меня информацию, используя общедоступные и закрытые источники информации. На самом деле уходит достаточно много времени на обработку информации, в ряде случаев получаю обратную связь от правоохранительных органов США и они благодарят меня за исследования, спрашивают как я пришел к своим выводам и заключениям. Такой подход в сотрудничестве с Law Enforcement помогает мне выслеживать киберпрестуников
Russian OSINT: Как выглядит киберкрайм "сцена" в 2021?
Dancho Danchev: Большинство сайберсек вендоров могут адекватно реагировать только на базовые и простые угрозы, так например ransomware для них крайне тяжело остановить. Экосистема киберпреступности в 2021 году процветает, приходят тысячи новых участников рынка, как новички, так и опытные киберпреступники. Опытные по-прежнему придерживаются основных принципов и понимают используемые для борьбы с киберпреступностью методы.
Russian OSINT: Киберпреступность опаснее чем обычная бытовая/уличная преступность?
Dancho Danchev: Подтверждаю. Киберпреступность это эффективный способ как для опытных, так и для начинающих киберпреступников зарабатывать миллионы долларов за счет своих жертв по всему миру
Russian OSINT: Сейчас все говорят о ransomware, как можешь прокомментировать данный тренд?
Dancho Danchev: Ransomware главный тренд в 2021. Я это называю еще "криптовирусное вымогательство", в далеком 2006 году писал на эту тему статью «Вредоносное ПО - будущие тенденции», где рассказал об опасности кооперации ransomware с адвертами, также про ransomware-as-a-service как бизнес-модель
Russian OSINT: Что еще кроме Ransomware сейчас актуально в киберкрайме?
Dancho Danchev: Мы наблюдаем увеличение числа дружественных по отношению к киберпреступности сообществ, форумов, которые являются главной движущей силой киберпреступности: ботнеты и целевые малвари для атаки на другие государства, целевые вредоносные кампании в целом.
Russian OSINT: Ранее я делал интервью с хакерами из REvil, по их словам, доходы в год более чем 100 миллионов долларов США. Достигнут ли эти суммы 1 млрд долларов в ближайшее время?
Dancho Danchev: Плохие парни могут спекулировать говоря о своих доходах. В этом конкретном случае, действительно возможно, злоумышленники применяют эффективные бизнес-модели, в частности, использование партнерских сетей.
Russian OSINT: Как сильно отличается киберпреступность в странах СНГ, Азии, ЕС и Африки?
Dancho Danchev: Если мы говорим о скамерах в Африке, а их около 419, они имеют тесные связи с мошенниками из Европы, те работают с киберпреступниками из России. Сейчас российская киберпреступность распространяется по всему миру и является главной причиной роста киберкрайма во всем мире.
Russian OSINT: СНГ и русскоговорящий киберкрайм являются основной целью правоохранительных органов США?
Dancho Danchev: Подтверждаю. Все кто причастен к киберкрайму должны четко понимать: пока вы проводите время создавая свои ботнеты и рассылаете спам по всему миру - за вами следят и как только поднимете бровь, вас привлекут к ответственности.
Russian OSINT: Проводил ли ты исследования в отношении элитных киберкрайм форумов, где говорят на русском языке? К каким выводам ты пришел?
Dancho Danchev: Можете верить или нет, но я не посещаю русские форумы, несмотря на то что у меня есть аккаунты, при помощи OSINT добываются нужные мне данные. Основной упор идет на сбор данных от 4-х лиц, включая Technical Collection на котором я специализируюсь.
Russian OSINT: В своем блоге ты делишься с правоохранительными органами базой email русскоговорящих хакеров. Как ты добываешь такую информацию? У тебя своя собственная методика?
Dancho Danchev: Спасибо за вопрос. Я собираю данные в рамках OSINT кампании "Uncle George", так например мною расшарено около 74 копий баз данных о киберпреступных сообществах, представляющих интерес для правоохранительной системы США.
Russian OSINT: Назови топ-3 элитных русскоговорящих форума
Dancho Danchev: Я не фанат киберпреступных форумов. Верю в то, что рано или поздно, всех кто занимаются киберкраймом поймают.
Russian OSINT: Что думаешь о киберпреступности в СНГ?
Dancho Danchev: Россия остается главным рассадником киберпреступности, в особенности когда речь заходит о современных и сложных методиках, сюда также входит Восточная Европа. Думаю всем это должно быть это понятно.
Russian OSINT: Как короновирус повлиял на киберкрайм?
Dancho Danchev: Рост киберпреступности, больше спама и малварей, включая фишинговые кампании
Russian OSINT: Не боишься ли заниматься тем, чем занимаешься? Как насчет чёрных шляп "blackhats", которые попали в тюрьму из-за твоей помощи правоохранительным органам? Каково жить находясь под давлением со стороны хакеров?
Dancho Danchev: Когда проводите исследования, вы в последнюю очередь должны беспокоиться о давлении. Главное донести информацию до общественности.
Russian OSINT: Те кто активно расследует деятельность киберпреступников, как они могут защитить себя и своих близких от травли со стороны киберпреступников?
Dancho Danchev: Вы должны активно следить за своими публикациями и знать конкретно кто из сообществ проявляет интерес к вашей персоне
Russian OSINT: Ранее кто-то пытался навредить тебе?
Dancho Danchev: Мой единственный совет - оставаться тем, кто вы есть, и продолжать делать то великое дело.
Russian OSINT: Когда-нибудь помогал NSA ловить опасных преступников? Как оцениваешь их подготовку и уровень по сравнению с другими службами из других государств?
Dancho Danchev: Я делаю все возможно, чтобы делиться информацией об элитных киберпреступниках и их атаках.
Russian OSINT: Какое твоё главное достижение за всю карьеру?
Dancho Danchev: Я известен тем, что отслеживал и профилировал ботнет Koobface, в том числе предоставлял личную информацию о ключевых лицах, стоящих за группировкой
Russian OSINT: Недавно был взломан известный форум Маза. Кто является аудиторией форума по-твоему мнению, только элитные хакеры или все подряд?
Dancho Danchev: Я не посещаю такие форумы и стараюсь мало говорить об этом, так как некоторые люди могут расценивать подобное в качестве рекламы
Russian OSINT: Какие тренды в даркнете? Что слышно?
Dancho Danchev: Программы-вымогатели. Они продолжают распространяться, появляются луковые веб-сайты в Dark Web для связи со своими жертвами.
Russian OSINT: Как побороть киберпреступность с твоей точки зрения?
Dancho Danchev: Сотрудничество с правоохранительными органами каждый день, включая обмен информацией об атаках и инцидентах.
Russian OSINT: Как политика между РФ и США влияет на киберкрайм?
Dancho Danchev: Сейчас в США все более агрессивно стали преследовать хакеров и киберпреступников. Совсем скоро многие из киберкрайма почувствуют этот эффект. Россия и США по-прежнему воюют в кибепрепространстве.
Russian OSINT: Назови топ-5 OSINT тулзов, которыми ты рекомендуешь пользоваться для исследований?
Dancho Danchev: Google ваш лучший друг
Russian OSINT: Как защититься от хакеров?
Dancho Danchev: OPSEC
Russian OSINT: Посоветуй безопасную операционную систему, где соблюдается правильный баланс безопасности, конфиденциальности и удобство использования
Dancho Danchev: Любая ОС может стать легкой мишенью хакера. Выбирайте систему ориентированную на конфиденциальность и делайте настройки под себя
Russian OSINT: Когда планируешь на пенсию?
Dancho Danchev: Не планирую в ближайшее время
Russian OSINT: Как бороться со стрессом на работе?
Dancho Danchev: Новая музыка
Russian OSINT: Как не сгореть на работе?
Dancho Danchev: Всегда стремитесь и делайте все возможное, чтобы быть и оставаться профессионалом.
Russian OSINT: Любимое блюдо из болгарской кухни?
Dancho Danchev: Шопский салат
Russian OSINT: Посоветуй книгу
Dancho Danchev: Structured Analytic Techniques for Intelligence Analysis
Russian OSINT: Ты счастливый человек?
Dancho Danchev: До тех пор пока занят своей работой и способствую общему благу
Russian OSINT: Финальный совет новичкам в ИБ
Dancho Danchev: Я бы посоветовал читать как можно больше, не отставать от других исследователей
