Согласно Twitter-боту, который отслеживал статус кошельков злоумышленников, вывод (в несколько заходов) произошел в среду с 11:00 по времени восточного побережья США. Кошельки содержали немногим больше $142 000 долларов, которые были получены в качестве выкупа от 383 жертв WannaCry. Учитывая масштабы атаки (200 стран, более 200 000 скомпрометированных машин), сумма ничтожно мала.

Ряд экспертов по безопасности, в том числе «Лаборатория Касперского», связали атаки WannaCry с северокорейской Lazarus Group, поддерживаемой, возможно, госструктурами КНДР.

Следующим шагом злоумышленников должна стать «отмывка» Биткойнов и перевод средств в другую валюту. Представитель группы исследований и анализа угроз «Лаборатории Касперского» Брайан Бартоломью говорит, что процесс довольно прост: «грязная» криптовалюта «отмывается» с помощью специальных сервисов путем «подмешивания» ее к «чистым» транзакциям, а затем переводится обратно заказчику, но уже на новый кошелек.

По данным Forbes, злоумышленники используют швейцарский обменник криптовалюты ShapeShift, чтобы преконвертировать биткойны в Monero, — анонимную и неотслеживаемую криптовалюту с открытым исходным кодом.

Последствия WannaCry могли быть куда плачевней, если бы исследователем Маркусом Хатчинсом, также известным как MalwareTech, не был обнаружен и зарегистрирован «домен-выключатель». По странному стечению обстоятельств всего спустя день после вывода криптовалюты, Хатчинс, был задержан ФБР в Неваде, где он посещал конференции Black Hat и DEF CON. Motherboard сообщает, что вместе с другим подозреваемым, чья личность не раскрывается, Хатчинс обвиняется в шести случаях, распространения вредоносного ПО Kronos.

В обвинительном заключении утверждается, что он создал трояна в июле 2014 года, а его сообщник опубликовал на YouTube (13.07.2014) видеоролик.

Оба подозреваемых, как утверждается, рекламировали вредоносное ПО на нескольких интернет-форумах, включая недавно закрытый AlphaBay. Министерство юстиции сообщает, что второй фигурант дела в августе 2014 года предлагал приобрести вредоносное ПО за $3000, в феврале 2015 года оно было обновлено, а в апреле размещено на AlphaBay. В июне 2015 года таинственный подозреваемый предположительно продал вредоносное ПО за $2000 в криптовалютном эквиваленте, а в июле он же начал предлагать дополнительные услуги.

 

Kronos является типичным банковским вредоносным ПО, специализирующимся на краже учетных данных пользователей с помощью веб-инжектов, имитирующих банковские веб-сайты. Жертвам «подсовывают» фальшивые страницы входа в систему, запрашивающие личную информацию, пароли, PIN-коды и т.п.

Категории: Вредоносные программы, Главное