Злоумышленники, стоящие за блокером-шифровальщиком TeslaCrypt, одним из новейших зловредов этого типа, не получают таких прибылей, как их более опытные конкуренты, но исследователи заявляют, что заражение этим зловредом весьма обескураживает пользователей.

Как и другие зловреды-вымогатели, TeslaCrypt распространяется при помощи различных эксплойт-паков. Атакующие используют скомпрометированные веб-сайты для организации атак с помощью эксплойт-паков вроде Angler или Nuclear. Наборы содержат эксплойты для множества приложений, в основном для браузеров, расширений и плагинов, таких как Flash или Java. В результате эксплойта на машину загружается блокер, который принимается за шифровку файлов жертвы.

CryptoLocker — один из самых известных блокеров-шифровальщиков, вариацией которого, как считают, является TeslaCrypt. Последний отличается тем, что избрал своими целями файлы, ассоциируемые с игровыми платформами, и шифрует именно их. Впервые активность TeslaCrypt была замечена в феврале этого года, и он, как и другие аналогичные ему зловреды, генерирует прибыль за счет вымогательства денег за расшифровку файлов, принимая к оплате в основном Bitcoin. Исследователи из FireEye с недавних пор начали отслеживать финансовые потоки, пытаясь выяснить, как много смогли заработать операторы TeslaCrypt.

Исследователям удалось обнаружить, что стоящая за TeslaCrypt группировка не получает таких прибылей, как их «коллеги по цеху», использующие основную вариацию CryptoLocker. TeslaCrypt обычно требует за ключ дешифровки от 0,5 до 2,5 Bitcoin, или до $1 тыс., с оплатой через PayPal.

«Мы отследили платежи жертв до злоумышленников, что удалось сделать благодаря использованию ими Bitcoin, и выяснили, что за период с февраля по апрель 2015 года они получили $76 522 от 163 пострадавших. Эта сумма ничтожна по сравнению с миллионами, получаемыми ежегодно за счет других киберпреступлений, или в сравнении с $3 млн, которые заработали держатели CryptoLocker за девять месяцев в 2013–2014 годах. Тем не менее даже эта скромная сумма доказывает, что и этот зловред способен приносить своим владельцам прибыль, не говоря уже о моральном ущербе для жертв вымогательства», — пишет Нарт Вилльнёв (Nart Villeneuve) из FireEye в отчете об активности TeslaCrypt.

Суммарно количество жертв, как и денег, невелико в случае с TeslaCrypt, но это не значит, что угроза невелика. Помимо слежки за финансовыми потоками специалисты FireEye также изучили переписку между злоумышленниками и жертвами. Многие из жертв заражения даже не могли понять, что же на самом деле произошло. Некоторые пострадавшие умоляли злоумышленников отдать им ключ дешифровки из-за отсутствия у них денег на выкуп, другие же объясняли, что их могут уволить с работы, если об инциденте узнает начальство. В некоторых случаях злоумышленники даже уменьшали требуемую от жертвы сумму, но чаще просто вновь повторяли свои требования.

«Из более чем 1230 жертв TeslaCrypt 263 вошли в контакт со злоумышленниками, используя их систему обмена сообщениями. Эти сообщения позволяют понять, какой удар ощутила жертва, а также проанализировать позицию киберпреступников. Эмоции, проявляемые жертвами, варьируются от гнева и недоумения до отчаяния и готовности заплатить выкуп», — пишет Вилльнёв.

«Мы предполагаем, что в ближайшие годы будет наблюдаться рост числа использований именно этого типа зловредов. Они весьма просты в использовании, и даже неопытный злоумышленник сможет быстро получить прибыль за счет пользователей Сети, готовых уплатить выкуп, чтобы вернуть зашифрованные файлы», — продолжает исследователь.

ИБ-компании работают над тем, чтобы сломить натиск зловредов-вымогателей. Так, «Лаборатория Касперского» совместно с нидерландским управлением по борьбе с высокотехнологическими преступлениями разработала утилиту, способную расшифровать файлы, полоненные блокером CoinVault. Компании FireEye и Fox-IT представили утилиту, ломающую шифр CryptoLocker.

Категории: Вредоносные программы