Аналитики «Лаборатории Касперского» изучили киберпреступное подполье и раскрыли любопытные сведения: оказывается, примерно 75% всех шифровальщиков, созданных в 2016 году, — это детища русскоязычных хакеров. Из 62 семейств у 47 прослеживаются русскоязычные корни. От действий этих зловредов за год пострадали 1,5 млн пользователей, в том числе организации.

Дальнейшее изучение андерграундного сообщества русскоязычных разработчиков вредоносного ПО пролило свет на организацию взаимоотношений внутри экосистемы создателей и распространителей шифровальщиков.

Русскоговорящая киберпреступная среда развивается и консолидируется, из-за чего существование мелких группировок и одиночек становится менее оправданным, и на смену им приходят настоящие киберпреступные корпорации, характеризующиеся четким распределением ролей и понятной бизнес-моделью. Имея достаточные ресурсы, вымогатели могут атаковать даже самые сложные и защищенные цели, требуя за расшифровку более значительный выкуп.

Созревание киберпреступной экосистемы — один из основных факторов, обусловивших бурный рост шифровальщиков с русскими корнями. Хотя существует несколько версий того, почему такая большая доля вымогателей связана с русскоязычными хакерами, однозначно свою роль могло сыграть наличие большого количества опытных кодеров с хорошим техническим бэкграундом на постсоветском пространстве.

Структура экосистемы кибервымогательства строится следующим образом. Технически подкованные люди, то есть хакеры и кодеры, занимаются созданием новых и совершенствованием существующих зловредов. Они — самый ценный актив преступного сообщества, претендующий на большую часть получаемых доходов. Другие участники отвечают за развитие партнерской сети, необходимой для распространения и работы вымогателей. Низшая ступень этой иерархии — сами «партнеры», то есть киберпреступники, которые распространяют шифровальщики за небольшой процент от оборота.

Как выяснили в «Лаборатории», каждый день киберпреступники могут получать с одной партнерской программы до нескольких сотен тысяч долларов. Показатели чистой прибыли для этого «бизнеса» невероятно высоки — около 60% от выручки.

Участники теневого «рынка» кибервымогателей используют различные модели монетизации зловреда. Например, популярна продажа сборок зловреда для последующей модификации с учетом потребностей заказчика. Это намного дешевле, чем разрабатывать новый шифровальщик с нуля. Также разработчики могут «допродавать» заказчикам инструменты аналитики или технической поддержки.

Партнерские программы также могут различаться: например, в программу «для всех» могут войти любые партнеры, тогда как в программы «для элитных партнеров» — только проверенные группировки, которые могут предоставить рекомендации по отработке предыдущих кампаний.

На глубокое исследование русскоязычного киберпреступного подполья аналитиков подтолкнула история с группировкой Lurk. «Группировки, создающие шифровальщиков, превращаются в сильного противника, и мы должны знать о нем как можно больше», — заявил Антон Иванов, антивирусный эксперт «Лаборатории Касперского». Кроме того, всего за три квартала 2016 года количество новых модификаций программ-вымогателей выросло в 11 (!) раз, более чем до 32 тыс. образцов.

«Лаборатория Касперского» опубликовала полный текст исследования на сайте Securelist.

Категории: Аналитика, Вредоносные программы, Главное, Хакеры