Исследователи из Recorded Future обнаружили свежую вариацию вымогателя Karmen, распространяемого по модели RaaS. Таким образом, любой, даже новичок, может открыть для себя мир кибервымогательства, зарегистрировав аккаунт и кастомизировав вымогательскую кампанию под себя.

Вымогатель Karmen стоит $175 и позволяет злоумышленникам устанавливать размер выкупа, срок его уплаты и многочисленные способы связи жертвы с координаторами кампании. RaaS-инфраструктура также включает в себя дэшборд, отслеживающий количество клиентов и размер выручки.

«Karmen продается как отдельная вариация программы-вымогателя; заплатить за ее использование можно только один раз, и при этом организатор кампании не выплачивает комиссию RaaS-провайдеру, а сохраняет за собой 100% прибыли», — пишут в Recorded Future. Вымогатель доступен в полной и облегченной версии; облегченная версия не содержит функции распознавания сэндбокса, поэтому намного меньше по размеру.

В Recorded Future впервые столкнулись с Karmen 4 марта; его сбывал по модели RaaS на одном из подпольных хакерских форумов русскоговорящий киберпреступник под ником DevBitox или Dereck1. Об этом написали в отчете об исследовании зловреда эксперты Recorded Future Диана Грейнджер (Diana Granger) и Андрей Барысевич.

О DevBitox практически ничего не известно, кроме того, что до этого он активно искал клиентов, предлагая им услуги взлома. Скорее всего, Karmen — первый коммерческий проект хакера.

Karmen основан на открытом ransomware-проекте под названием Hidden Tear, код которого в образовательных целях выложил в августе 2015 года турецкий исследователь Утку Сен (Utku Sen). С тех пор появилось множество вариаций этого зловреда.

Первые случаи заражения Karmen были зафиксированы в декабре 2016 года: это были жертвы из Германии и США. Для шифрования файлов на зараженных компьютерах Karmen использует AES-256.

Karmen (или Hidden Tear) можно удалить с компьютера при помощи бесплатной утилиты с сайта NoMoreRansom.org. Однако, по словам исследователей, «в данный момент расшифровать уже зашифрованные файлы без уплаты выкупа невозможно».

У Karmen имеется ряд отличительных признаков; например, одна из функций позволяет автоматически удалить дешифратор, если на компьютере жертвы имеются сэндбокс или ПО для аналитики. По информации из Дарквеба, существует 20 копий Karmen и все они продаются хакером DevBitox; только пять из них сейчас доступны в продаже.

«Чтобы обеспечить должное качество обслуживания и поддержки, разработчики нередко ограничивают количество копий, продаваемых клиентам», — считают исследователи.

В настоящее время ничего не известно ни о способах распространения зловреда, ни о количестве жертв.

Категории: вредоносные программы

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *