В начале месяца румынская полиция и Европол арестовали командные серверы, управляющие кампанией набирающего популярность вымогателя GandCrab. Но авторы шифровальщика быстро исправили вредоносную программу и снова взялись за старое.

Согласно недавнему исследованию от Check Point, злоумышленники заразили GandCrab более 50 000 пользователей, преимущественно из США, Великобритании и Скандинавии. За два месяца вымогательства преступникам удалось выманить у своих жертв 600 000 долларов США. Напомним, это первый шифровальщик, который требует выкупа в криптовалюте DASH.

«GandCrab — самая известная программа-вымогатель в 2018 году. По нашим данным, ее авторам удалось охватить огромное количество устройств», — отметил руководитель по исследованию безопасности компании Check Point Янив Балмас (Yaniv Balmas).

Он также опроверг распространенное мнение о том, что злоумышленники постепенно отказываются от шифровальщиков в пользу добычи криптовалюты. Как считает исследователь, вымогательство остается одним из самых легких способов нелегального заработка, и количество жертв шифровальщиков вряд ли снизится в ближайшее время.

Изучив первые и более поздние версии GandCrab, специалисты Check Point пришли к выводу, что для того, чтобы неизменно получать прибыль и оставаться на шаг впереди экспертов по кибербезопасности, авторы зловреда используют совершенно новый подход к разработке вредоносных программ.

«Сравнивая две версии GandCrab, мы можем предположить, как именно развивается эта программа-вымогатель. Сперва злоумышленники запустили максимально непроработанный шифровальщик, а потом постепенно его совершенствовали. Новейшая версия зловреда вышла на прошлой неделе, — пишут авторы исследования, — и можно сделать вывод, что в 2018 году даже вирусописатели проявляют гибкость в разработке».

Как заметил руководитель команды по исследованию вредоносных программ в Check Point Майкл Каджилоти (Michael Kajiloti), ранние версии GandCrab кишели недочетами, но злоумышленники быстро устраняли все проблемы. Преступники тщательно изучали код и в режиме реального времени исправляли ошибки из отчетов.

Как и в случае с известным вымогателем Cerber, авторы GandCrab сдают программу в аренду, не принимая непосредственного участия в атаках. Такой подход позволяет уделять больше внимания написанию кода и не отвлекаться на вымогательство. Как считают эксперты Check Point, за GandCrab могут скрываться хакеры из России: в инструкциях злоумышленники запрещают пользователям атаковать системы с русской раскладкой клавиатуры.

В начале марта компания BitDefender выпустила бесплатный декриптор для шифровальщика. Однако разработчики зловреда оперативно издали новую версию, для которой это решение не работало.

«GandCrab — «сырой» вымогатель, который тем не менее отлично справляется со своими задачами. Например, до недавнего времени программа непреднамеренно оставляла локальные копии секретного ключа расшифровки RSA на компьютере жертвы. Это как если бы кто-то закрыл вашу квартиру, но оставил дубликат ключа под ковриком у двери», — пишут авторы отчета Check Point.

Обнаружили исследователи и еще одну недоработку: ключ RSA можно увидеть и в интернет-трафике. Для его шифровки используется один и тот же пароль, встроенный во вредоносный код. Однако, по мнению экспертов, скоро авторы GandCrab исправят и эту ошибку.

Как отметил Каджилоти, находить подобные неисправности становится все сложнее: злоумышленники постоянно совершенствуют шифровальщик и обходят антивирусы, которые применяют сигнатурный анализ. Для защиты от GandCrab нужен динамический анализ и эвристическое обнаружение. В ближайшее время, по мнению эксперта, GandCrab продолжит приносить своим авторам деньги за счет гибких методов разработки, распространенности и широкой сети партнеров.

Категории: Аналитика, Вредоносные программы, Кибероборона