Как заключают исследователи Flashpoint, тренд коммерциализации распространения вымогателей нигде не заметен так сильно, как в России. ИБ-эксперты опубликовали два отчета: один о бурном развитии бизнес-модели «вымогатели как сервис» в России, другой — об отношении влиятельных российских хакеров к атакам на больницы.

Исследователи отмечают, что атаки хакеров, занятых в индустрии компьютерных вымогательств, стали более дерзкими и скоординированными, но, что удивляет экспертов, таких злоумышленников постоянно волнуют вопросы этики. Оба отчета раскрывают любопытные детали о российском вымогательском бизнесе — например, средний годовой доход для верхушки российского киберпреступного бизнеса в области вымогательства составляет $90 тыс.

Во Flashpoint выяснили, что бизнес-модель «вымогатель как сервис» (RaaS) созрела до уровня, когда опытные хакеры начинают активно привлекать новичков, надеясь быстро расширить бизнес.

«До этого кибервымогательские группировки состояли только из опытных киберпреступников. Но сейчас планка существенно ниже: в ряды ransomware-группировок привлекаются начинающие хакеры без опыта, которые хотят научиться азам вымогательских кампаний», — рассказывает Виталий Кремец, эксперт по киберпреступлениям во Flashpoint.

Исследуя российский сегмент Дарквеба, эксперты наткнулись на рекламное объявление: «Добрый день! Мы предлагаем всем желающим научиться зарабатывать много денег, скажем, не совсем честным путем». В рекламе заверяют, что в этом нет никакого подвоха, деньги за обучение платить не требуется, а доход появится сразу же. Если же у «соискателя» нет опыта, «это не проблема. Мы предоставим вам подробные инструкции, как и что делать. С этим справится даже школьник; все, что вам потребуется, — это немного времени и желания».

Кремец утверждает, что представители старой хакерской школы стремятся привлекать молодых продвинутых хакеров, которые комфортно чувствуют себя в соцсетях, приложениях для знакомств и файлообменниках, но не обладают достаточным опытом для организации ransomware-атаки самостоятельно. Молодые рекруты получают около $600, прочесывая Интернет и заражая компьютеры жертв вредоносным ПО, разработанным «начальством».

Обычно один «главарь» группировки контролирует около 10 «партнеров», рассказали во Flashpoint. Средний гонорар за один зараженный компьютер составляет $300, «план» на месяц — 30 инфекций. Полученный навар делится между различными уровнями группировки (60% — боссу, 40% — партнерам). Жертвами обычно становятся жители англоговорящих стран, в частности США.

«То, что мы узнали в ходе исследования, опровергает расхожие мифы о крутых, гениальных, состоятельных, неуловимых, скрытых от постороннего мира и безудержных хакерах», — пишут эксперты Flashpoint.

Эти вымогательские RaaS-кампании похожи на другие подобные им инициативы — например, GinX и Ranstone. В российских группировках вымогательское ПО не нуждается в С&C-инфраструктуре. Вместо этого российские хакеры, по сведениям Flashpoint, полагаются на специально модифицированный вымогатель, который после шифрования файлов выводит текстовый документ, содержащий email-адрес для получения инструкций при оплате выкупа.

Кремец, к собственному удивлению, узнал, что члены группировки блюдут своеобразный кодекс чести. Новичкам, например, втолковывают, что репутация в киберпреступной среде начинается с доверия между боссами и подчиненными, и участнику инициативы придется довериться вышестоящим хакерам, которые оплачивают «работу», основываясь на количестве успешных заражений.

«Примечательно, что эта кампания зиждется на доверии между участниками, а не на централизованной технической инфраструктуре», — говорится в отчете.

Однако в некоторых случаях «верхушка» киберпреступной сети спорит между собой — например, мнения разделились, когда речь зашла об атаках на учреждения здравоохранения. «Больницы стали популярной мишенью для  ransomware-атак: в их системах содержатся критически важные данные, и больницы потенциально могут заплатить более высокий выкуп. Но российские боссы вымогательской сети начали спорить об этической стороне вопроса», — пишет Кремец.

Например, специалисты Flashpoint нашли на одном из русскоязычных хакерских форумов пост одного из «уважаемых» членов кибергруппировки: «Я от всего сердца искренне желаю, чтобы матери всех распространителей ransomware попали в больницу, а компьютер аппарата искусственной вентиляции легких вышел бы из строя из-за шифровальщика».

С другой стороны, во Flashpoint отмечают, что сторонников атак на больницы было не меньше. Один из участников того же форума хвалился: «Я вывел из строя все клиники сети, перехватив учетные данные для виртуального рабочего стола, подключившись к гостевой Wi-Fi-сети».

Эксперты также наткнулись на объявление о продаже нового вымогателя под названием BitcoinBlackmailer, который специально создан для атак на больницы. Это вариант зловреда Jigsaw.

В объявлении говорится следующее: «Хакер взял в заложники голливудскую больницу за выкуп в $3,6 млн при помощи вымогателя. Вдруг этот хакер — вы? Спорим, это был 16-летний подросток, который оказался в нужное время в нужном месте, прямо как ты».

Категории: Вредоносные программы, Главное