Shodan, поисковик подключенных к Интернету устройств, зачастую используется киберпреступниками для поиска незащищенных портов, а также компаниями для проверки защищенности сетевой инфраструктуры. Но этим летом Shodan пригодился ИБ-исследователям и правоохранительным органам для обезвреживания ботнета, раздающего шифровальщик.

Ботнет на основе Encryptor сдавался в аренду в рамках модели «вымогатель как сервис». RaaS — это набирающая популярность в среде киберпреступников бизнес-модель; разработчики предоставляют инфраструктуру, инструменты, рекомендации, программный код и даже службу круглосуточной клиентской поддержки заказчикам, таким образом открывая дверь в мир киберпреступности всем без исключения, кто готов платить.

Сам зловред появился летом 2015 года, но без большой помпы: в марте во всем мире насчитывалось всего лишь 1818 жертв этого шифровальщика, причем только восемь из них решили заплатить выкуп. Однако разработчики зловреда просили всего 5% комиссии, тогда как комиссия других разработчиков вымогателей составляла около 40%. Это вкупе с возможностями обхода антивирусов при помощи валидных сертификатов и использованием Tor для сокрытия инфраструктуры обеспечило интерес к Encryptor.

Спустя год после появления шифровальщик детектируется только 35 антивирусными продуктами и способен успешно обходить защиту; тем не менее низкая цена повлияла на качество оказываемой разработчиками «клиентской поддержки». В Trend Micro отметили, что покупатели не всегда были довольны качеством продукта. Последним гвоздем в крышке гроба стал Shodan.

По ошибке один из серверов ботнета Encryptor RaaS оказался незащищенным. Исследователи смогли определить, где хостится этот сервер, и смогли его закрыть. Затем за дело принялись правоохранительные органы, которые отключили еще несколько серверов в июне. Вскоре после этого создатели ботнета прекратили деятельность — либо из-за вмешательства полиции, либо из-за нежизнеспособности выбранной бизнес-модели. Кроме того, на киберпреступном рынке репутация играет очень важную роль, и, если клиенты выражают недовольство сервисом, недобросовестный разработчик будет известен в масштабах всего черного рынка.

Однако ликвидация ботнета не решила все проблемы: сжигая мосты, владельцы удалили мастер-ключ, и теперь все жертвы шифровальщика не смогут вернуть свои файлы, даже если выкуп был уплачен.

Категории: Вредоносные программы, Кибероборона