Дълго време се смяташе, че е почти невъзможно да бъдат хванати: Хакери, които извличат пари от жертвите си чрез софтуер за откуп. Успехите на полицията в разследването срещу REvil показват, че борбата с ransomware не е толкова безнадеждна, колкото изглежда.
Всъщност „филиалите“ са доста ясно дефинирани в мрежовата икономика. „Партньори“, понякога наричани също „партньори“, са рекламисти, които насочват своите читатели или посетители на сайта към уебсайтовете на рекламодателите чрез „партньорски връзки“ и след това получават комисиона, когато читателите станат клиенти.
Партньорите са партньори за безплатна реклама, които не печелят пари само от излъчването на реклами, а единствено чрез комисиони. Доходността на партньорските програми варира значително. Някои от тях са отлична възможност, особено за големи уебсайтове, да печелят пари от работата си; други, от друга страна, в най-добрия случай носят само няколко стотинки.
Сред най-доходоносните партньорски програми в момента са тези на оператори на софтуер за изнудване като REvil. От няколко години насам авторите на рансъмуер не се опитват сами да пренасят зловредния софтуер в други системи, а разчитат на филиали, които го правят.
Тези филиали получават софтуера от хакерите. Те проникват в системите на жертвата – понякога сами чрез сложни хакерски технологии, а понякога чрез обикновени спам имейли – и качват рансъмуера. Ако жертвата плати, тя получава част от приходите, обикновено 70-80%. Междувременно авторите на рансъмуера могат да си сложат краката нагоре и да гледат как парите се трупат.
Конфискуван портфейл за милиони долари от филиал
Наскоро ФБР на САЩ започна да преследва тези филиали. По-конкретно, разследващите са тръгнали по следите на руския гражданин Александър Сикерин, който живее в Санкт Петербург
FBI Seizes Cryptocurrency Worth $2.3 Million From REvil Ransomware Group Affiliate | #malware | #ransomware#earegun
US law enforcement seized 39.9 Bitcoins from an Exodus wallet, worth approximately $2.3 million (roughly Rs. 17.3 crore) from a Russian citizen suspected of … pic.twitter.com/yyjGMQ4Y85
— Estiuck Al Regun (@earegun) December 6, 2021
ФБР обвинява Сикерин, че е получил неоторизиран достъп до други компютри, инсталирал е там откупващия софтуер REvil и след това е прал пари. Въз основа на този обвинителен акт служителите конфискуват портфейл Exodus от Сикерин, който съдържа 39,9 биткойна или около 2,3 милиона долара.
Според обвинителния акт Sikerin е частично отговорен за атаките с откуп, довели до плащане на откупи в размер на около 200 млн. долара. Отчасти тези плащания на откупи могат да бъдат свързани с портфейла на Sikerin, който вече е под контрола на ФБР.
Как точно ФБР е успяло да се сдобие с „портфейл на Exodus“, все още не е ясно. Exodus е портфейл за настолни компютри и мобилни устройства. Той е бил или е подложен на критики, защото не всички части на кода са с отворен код, но е малко вероятно портфейлът да съдържа толкова широка задна врата, че правителството на САЩ да може да конфискува пари с едно натискане на бутон. По-вероятно е достъпът да се осъществи чрез конфискация на устройствата или чрез хакерска атака.
Международна стачка срещу злото
Въпросният портфейл може да е бил част от по-широкообхватна конфискация преди месец. По-рано през ноември Министерството на правосъдието на САЩ повдигна обвинения на украинец и руснак, че стоят зад една от най-тежките атаки с откуп срещу американци.
По-конкретно става дума за атаката срещу доставчика на софтуер Kaseya през юли, извършена от рансъмуера REvil. Тъй като софтуерът на компанията се използва в многобройни системи, атаката се разпространява по целия свят. Засегнати бяха хиляди компании, включително например всички коопс в Швеция.
Supply chain attacks continue to have a widespread impact and this is an example of how deep they can go.
800 supermarkets closed because of their POS provider’s MSP’s software provider experiencing a ransomware attack.
= A mouthful of supply chain risk. https://t.co/EdtrZF6Z0U
— Sandeep Kumar (@deepsand) July 3, 2021
Украинецът Ярослав Васински е арестуван в Полша през октомври същата година. Той и руският му колега Евгений Полинин са обвинени, че са проникнали в компютрите на жертвите и са инсталирали откупващия софтуер REvil. За разлика от Васински, Полинин все още е на свобода.
В хода на тези разследвания американските власти са конфискували биткойни и монети Monero на стойност над шест милиона долара, които се отнасят до плащания на откупи. Освен ФБР, в операцията участват Европол и други полицейски служби.
По данни на Европол в началото на ноември в Румъния са били арестувани още двама обвиняеми за разпространение на рансъмуер REvil, а служители в Южна Корея са потвърдили, че са арестували трима заподозрени. Разследващите преследват общо 12 заподозрени, обвинени в отговорност за атаки с откуп в 71 държави.
Все пак не е перфектно престъпление
Дълго време софтуерът за откуп се смяташе за „перфектно престъпление“, защото изглеждаше почти невъзможно да се проследят извършителите. Сега изглежда, че тенденцията бавно се обръща. Поне за това говорят успехите в разследванията срещу REvil.
Една от причините за това може да е, че хакерите на ransomware са отишли твърде далеч. Хакването на известна адвокатска кантора вече беше достатъчна причина правителството на САЩ да говори за „кибертероризъм“; продължаващите атаки срещу градски администрации, болници и университети вероятно са изчерпали търпението на властите; хакването на Colonial Pipeline, както и на Kasey, бяха капката, която пречупи гърба на камилата.
Биткойнът и даркнетът принуждават правоприлагащите органи по света да си сътрудничат на наднационално ниво. Вече знаем това от понякога впечатляващите успехи срещу пазарите в даркнет. Сега полицията последователно използва ресурсите и компетенциите, които е натрупала в този процес, в борбата срещу ransomware.
Освен това промяната в стратегията също изглежда обещаваща. Кимбърли Гуди, директор на фирмата за сигурност Mandiant, обяснява, че може да се окаже по-обещаващо да се предприемат действия срещу филиалите, отколкото срещу ядрото на бандата за откуп. Това е така, защото филиалите не само са по-близо до мястото на престъплението – те, а не авторите на софтуер за откуп, хакват компютрите – но и често са по-малко внимателни и „техните умения са по-търсени от софтуера за криптиране“. Някои филиали работят и за няколко банди. Така че може да се окаже, че не толкова разработчиците на софтуер, колкото филиалите са тесните места в икономиката на ransomware.
Всъщност изглежда трудно да се стигне до създателите на самия софтуер. Създателите на REvil вече се оттеглиха през лятото, след като Colonial Pipeline беше хакнат. Вероятно са осъзнали, че с това е премината границата.
