Вирусописатели уже полгода троллят ИБ-исследователей, зарегистрированных на VirusTotal, публикуя оскорбительные комментарии, отмечая ресурсы полезного сайта как «вредоносные», а вредоносные файлы — как «безопасные».

Участники сообщества MalwareHunterTeam занимаются исследованиями информационной безопасности в качестве хобби и уже успели разрушить планы многих киберзлоумышленников, выявив и проанализировав множество образцов вредоносного ПО. На сайте VirusTotal, с базами которого работает команда, пользователи могут просканировать подозрительные файлы или ссылки. Все эти подозрительные объекты хранятся для дальнейших исследований, осуществляемых как MalwareHunterTeam, так и другими ИБ-компаниями. Но, в отличие от компаний, которые вносят результат проверки в антивирусные базы, MalwareHunterTeam публикует результаты исследований в Twitter. Разумеется, деятельность исследователей не могла не привлечь внимание злоумышленников, чьи планы она рушит.

Известно, что киберпреступники не боятся устроить проблемы ИБ-экспертам. Часто объектом такого преследования становится известный исследователь Брайан Кребс: он регулярно подвергается DDoS-атакам, а однажды злоумышленники взломали его PayPal и перевели деньги на счет участника запрещенной в РФ террористической организации ИГИЛ.

Хотя счета исследователей MalwareHunterTeam пока в безопасности, злоумышленники придумали способы мстить экспертам «по мелочи». Например, за последние полгода на ресурсе зарегистрировалось множество новых пользователей, которые помечают домашнюю страницу, трекеры вредоносных образцов или профили исследователей на VirusTotal как вредоносные. Хотя недоброжелатели по большому счету безобидны, их мелкие пакости стоят времени и нервов экспертам. Те же самые пользователи голосуют за вредоносные файлы как за «безопасные» (например, хейтеры пометили как «безопасный» банковский троянец Ursnif) и троллят исследователей в комментариях.

Google, которой принадлежит VirusTotal, уже заблокировала пользователей, публикующих оскорбительные комментарии и саботирующих работу ресурса. Но это не мешает злоумышленникам регистрировать новые аккаунты и снова браться за старое. Пока исследователи не решились банить пользователей, постоянно отмечающих вредоносные файлы как безопасные.

Неизвестно, какое именно исследование спровоцировало такую беспрецедентно мощную волну троллинга летом. Основной целью злоумышленников является JamesWT — самый результативный и активный участник ИБ-сообщества.

Прошлой осенью аналогичному преследованию подвергся Фабьен Восар (Fabian Wosar), исследователь из Emsisoft. Автор вымогателя Apocalypse переименовал свое детище в Fabiansomware в попытке скомпрометировать доброе имя эксперта, взломавшего шифрование зловреда.

Категории: Вредоносные программы, Хакеры