Эксперты обнаружили новый сервис для аренды вымогательского ПО. В отличие от RaaS-платформ, портал позволяет скачать исходный код зловреда, чтобы доработать его функциональность и затруднить обнаружение.

За $500 злоумышленники получают доступ к вредоносному ПО и панели управления текущими кампаниями. Сам вымогатель написан на С++ и может поражать весь набор ОС от Windows XP до Windows 10. Пользовательские данные блокируются с применением комбинированного шифрования на основе алгоритма AES и публичных RSA-ключей.

Создатели сайта рассказали журналистам, что предоставляют своим клиентам обучение по работе с исходным кодом вымогателя. В пакет ПО также входит утилита-декриптор, которая возвращает файлы в изначальный вид.

С появлением первых жертв злоумышленники получают возможность в реальном времени контролировать ключевые параметры кампании через онлайн-панель. На этой странице отображается процесс шифрования, географическое распределение зараженных хостов, их ОС, статус оплаты. Здесь же преступник может установить своим жертвам индивидуальные суммы выкупа или связаться с ними через чат.

По словам экспертов, создатели портала сделали ставку на удобство и скорость работы. На странице с описанием разработчики сервиса отмечают его низкую требовательность к ресурсам и современный плоский дизайн. При этом, поскольку сайт не предлагает RaaS, услуги хостинга не предоставляются.

Эксперты ожидают, что многие кибервымогатели воспользуются возможностью создать собственный зловред. Это может привести к появлению множества уникальных шифровальщиков, которые объединят в себе функции сразу нескольких представителей семейства. Такой подход затруднит автоматическое обнаружение вымогательского ПО в системе — сделать это смогут только системы с продвинутой поведенческой аналитикой.

По итогам 2018 года эксперты «Лаборатории Касперского» отметили значительное снижение популярности шифровальщиков по сравнению с криптоджекерами. Это не снижает риск новой глобальной эпидемии — по оценкам экспертов, даже первое поколение знаменитого WannaCry еще может вывести из строя сотни тысяч компьютеров по всему миру. При этом штатные средства защиты Windows зачастую не справляются с обеспечением должного уровня безопасности, открывая злоумышленникам прямой доступ к ценным пользовательским данным.

Категории: Вредоносные программы