Интервью с экспертом по вирусам-вымогателям

Честер Вишневски

Примерно полтора года назад вирус CryptoWall проник в компьютер моей мамы и зашифровал все файлы.

Дешифровать их можно было лишь заплатив выкуп $500 (в биткоинах) в течение недели электронным мошенникам. Эту одиссею я подробно описала в статье для New York Times. Теперь вирус-вымогатель снова пестрит в заголовках новостей после серии нападений на больницы.

Предлагаю вам интервью с экспертом Честером Вишневски (Chester Wisniewski), старшим консультантам по безопасности компании Sophos. Мы поговорили о программах-вымогателях (ransomware). Обсудили эволюцию вируса за несколько последних лет. Как программы-вымогатели покупаются, продаются и распространяется в темной стороне сети и как биткоин-операторы моли бы стать фактически ключом к уничтожению этих вирусов.

— CryptoWall поразил компьютер моей маме в конце 2014 г. Эта форма вируса-вымогателя все еще носит угрожающей характер? Был ли CryptoWall первой формой вируса-вымогателя?
— CryptoWall -по-прежнему самая популярная форма вируса-вымогателя. Она составляет от ½ до ¾ всех случаев, которые я наблюдал. Твою маму атаковала версия 2.0. Сейчас мы видим 4.0.

Cryptolocker — первая форма вируса-вымогателя, которая получила широкое распространение. В период с 17 сентября по 31 октября 2014 года Cryptolocker принес мошенникам эквивалент $33 млн. За 6 недель! Это стало главной новостью в бандподполье.

Деятельность парней, стоящих за Cryptolocker была пресечена международными усилиями во главе с ФБР в июне 2014 года. Позже 6 или 7 других преступных групп подхватили эту идею. Появились CryptoWall, CryptoFence, TeslaCrypt, Locky, Maktub, две группы стали называть себя «CryptoLocker». Название стало брендом и внушало страх своим жертвам! Преступники думали: «Назовем себя CryptoLocker. Люди знают о его существовании, напуганы, значит будут платить».

— Чем один из последних вирусов вымогателей Locky, отличается от CryptoLocker? Почему хакеры, стоящие за Locky, выбрали в качестве цели больницы?
— Обычно заражение Locky начинается с загрузки вложения электронного письма – «например счета-фактуры авиабилета от Delta Airlines » — или нечто подобного, вирус запрашивает включение макроса в MS Word.

Если программа-вымогатель шифровала бы весь диск, наступал бы паралич системы и прекращение работы компьютера. Изначально хакеры CryptoWall запрограммировали CryptoWall лишь на шифровку файлов с определенными расширениями — текстовые документы, изображения, видео. В общей сложности около 40-50 типов файлов. Так работает последняя версия вымогателя Locky.

Maktub — один из новых вариантов вируса-вымогателя, своей целью избрал больницы. Так можно заработать больше денег за каждую жертву. Потенциал для шантажа гораздо выше, учитывая деликатность информации, содержащейся в медицинских документах. Сумма, которую требуют преступники тоже намного выше. Врачам нужен незамедлительный доступ к медицинской документации, поэтому жертвы будет платить быстрее. Это тактика устрашения.

— Что известно о возникновении вирусов-вымогателей и какие хакеры стоят за ними?
— Когда мы говорим о киберпреступности, страна не имеет значения. В каждой стране есть киберпреступники. В основном это происходит в крупных городах, но мы отслеживали многие такие вирусы в небольших деревнях, где, вероятно, немного экономических возможностей.

Многие из главных действующих лиц, хорошо известны всем нам. Многие из подозреваемых находятся под защитой иностранных правительств и не скрывают своих личностей. Они обращаются к нам, насмехаться над нами, потому что подкупают местных чиновников, и на самом деле им незачем волноваться. Раньше они даже помещали информацию внутри вредоносных программ для вирусных аналитиков.

— Что делается для борьбы с вымогателями?
— Часто, когда определенный тип вредоносной программы поражает компьютеры многих пользователей, мы создаем рабочую группу. Сотрудники нашей компании, многие наши конкуренты и правоохранительные органы собираемся вместе, обмениваемся информацией в надежде обеспечить лучшую защиту, выявить преступников и потенциально привести их к аресту. Более тесное сотрудничество между странами помогло бы пресечь вирусописателей, но правда в том, что многие правительства заняты решением других проблем. Для них борьба с киберпреступностью не приоритетна.

— Сколько людей нужно, чтобы реализовать атаку программы-вымогателя? Речь идет о целых корпорациях по кибервзлому с офисными кабинетами и пиццей Fridays, или это единственный злой гений гик, сидящий на кровати с ноутбуком и чипсами «Читос»?
— Я думаю, что один человек мог бы написать нечто подобное за неделю, хотя, вероятно, это заняло две или три. Единоразовая плата за кит-вредоностной программ составляет $1000 — $10000 долларов США. В нее входит: необходимая форма вредоносной-программы, инструкция и инструменты.

Кит идет с инструментом настройки, так что можно изменить внешний вид, брендинг, настроить, куда будет оправляться похищенная информация. Это действие «нажми на кнопку», не нужно знать ни единой строчки кода. Единственное, что вы несете ответственность за распространения вируса на компьютеры жертв. Так что, если загляните на один из таких подпольных форумов, увидите одну из таких услуг.

Покупаете кит у одного преступника, потом обращаетесь к другому с предложением: «Установи это на 10 000 ПК, и я заплачу тебе 75 центов за каждую машину жертвы, которую заразишь.» Потом парни заключают субподряд со спамерами, платят им за отправку миллиарда электронных писем с вложениями, зараженных вирусом. Очень распространенная тактика у преступников. Это очень зрелая, хорошо отлаженная капиталистическая машина.

— Почему Bitcoin — это валюта выбора операторов программ-вымогателей и как они обналичивают их, не попадаясь?
— Биткоин не такая анонимная, как многие думают. Если неумело с ней обращаться, у вашей двери появятся правоохранители. Для того, чтобы использовать Bitcoin и попытаться сохранить чуть-чуть анонимности, нужно создать уникальный Bitcoin кошелек для каждой жертвы. Вредоносная программа самостоятельно генерирует кошелек Bitcoin, когда заражает компьютер; от жуликов не требуется никаких усилий.

Обычно мошенники собирают несколько тысяч платежей, полученных от жертв в один большой кошеле. Это происходит, когда они начинают процесс отмывания денег. Они не обналичивают их в биткоин-банкоматах. В таком случае мы бы просто поставили полицейского там и ждали, когда мошенники придут за деньгами. Преступники отправляют биткоины в миксинг-бизнес, по сути это сервис по отмыванию денег.

Еще один способ отмывания денег — это перемещение их на онлайновый игровой счет. Происходит это так: мошенники кладут биткоины на счет казино в Антигуа, играют, например в блэкджек, потом обналичивают их обратно в биткоины или другие денежные средства эквивалентные валютам. Но дело в том, все эти транзакции регистрируются. Если проанализировать журнал транзакций, можно найти след преступников.

— Как ты считаешь, в чем вина операторов-биткоин?
— Они прекрасно понимают, что люди используют их для оплаты этим злоумышленникам. Одно время киберпреступники принимали платежи через кредитную карту, но MasterCard и Visa совместно с правоохранительными органами пресекли это. В мире биткоин, я думаю, аналогичная ситуация. Зачем нужет сервис биткоиг-миксинг? Сервис предназначен для отмывания денег? Может быть, может и нет. Анонимизация не всегда используется для зла, например Tor и другие сервисы анонимизации, но ими пользуются преступники.

— Когда моя мама подверглась взлому, она решила заплатить выкуп, чтобы вернуть файлы. Как считаешь, относительно морали, что лучше всего делать если твои файлы похитили?
— Меня постоянно спрашивают: «Ну что нам делать?» Ответ: не нужно платить. Но если у вас бизнес, а создание резервных копий всех ваших данных будет стоит больше $400? Мошенники знают об этом. Именно поэтому цена составляет $500. Преступники — бизнесмены.

Источник: medium.com, Автор: Alina Simone


Перевод выполнен abv24.com




Опубликовано 05.12.2016 в 5:40 пп · Автор abv24 · Ссылка
Рубрики: Социальные медиа, Технологии · Теги: ,

Написать комментарий


@Mail.ru