Долгое время считалось, что их практически невозможно поймать: Хакеры, вымогающие деньги у своих жертв с помощью программ-выкупов. Успехи полицейского расследования против REvil показывают, что борьба с ransomware не так безнадежна, как кажется.
На самом деле, «филиалы» довольно четко определены в сетевой экономике. Аффилиаты», иногда также называемые «партнерами», — это публицисты, которые направляют своих читателей или посетителей сайта на сайты рекламодателей по «партнерским ссылкам», а затем получают комиссионные, когда читатели становятся покупателями.
Аффилиаты — это бесплатные рекламные партнеры, которые зарабатывают деньги не только за счет трансляции рекламы, а исключительно за счет комиссионных. Доходность партнерских программ сильно варьируется. Некоторые из них — отличная возможность, особенно для крупных сайтов, заработать на своей работе; другие же, напротив, приносят в лучшем случае лишь несколько копеек.
Среди наиболее прибыльных партнерских программ в настоящее время можно найти партнерские программы операторов ransomware, таких как REvil. Вот уже несколько лет авторы программ-вымогателей не утруждают себя самостоятельным распространением вредоносных программ на другие системы, а полагаются на аффилированных лиц.
Эти аффилированные лица получают программное обеспечение от хакеров. Они проникают в системы жертвы — иногда сами с помощью сложных хакерских технологий, иногда через обычные спам-письма — и загружают программу-вымогатель. Если жертва платит, она получает часть выручки, обычно 70-80 процентов. Авторы вымогательского ПО, тем временем, могут сложить лапки и наблюдать за тем, как к ним поступают деньги.
Миллионный кошелек конфискован филиалом
В последнее время ФБР США стало преследовать эти филиалы. А именно, следователи вышли на след гражданина России Александра Сикерина, проживающего в Санкт-Петербурге
FBI Seizes Cryptocurrency Worth $2.3 Million From REvil Ransomware Group Affiliate | #malware | #ransomware#earegun
US law enforcement seized 39.9 Bitcoins from an Exodus wallet, worth approximately $2.3 million (roughly Rs. 17.3 crore) from a Russian citizen suspected of … pic.twitter.com/yyjGMQ4Y85
— Estiuck Al Regun (@earegun) December 6, 2021
ФБР обвиняет Сикерина в том, что он получал несанкционированный доступ к другим компьютерам, устанавливал там программу REvil ransomware, а затем отмывал деньги. На основании этого обвинительного заключения чиновники конфисковали у Сикерина кошелек Exodus, в котором хранилось 39,9 биткоинов, или около 2,3 миллиона долларов США.
Сикерин, согласно обвинительному заключению, частично ответственен за атаки с использованием вымогательского ПО, в результате которых было выплачено около 200 миллионов долларов США. Отчасти эти выкупы могут быть связаны с кошельком Сикерина, который сейчас находится под контролем ФБР.
Как именно ФБР удалось завладеть «бумажником Exodus», пока неясно. Exodus — это кошелек для настольных компьютеров и мобильных устройств. Он подвергался или подвергается критике, поскольку не все части кода являются открытыми, но маловероятно, что кошелек содержит настолько обширный бэкдор, что правительство США может конфисковать деньги одним нажатием кнопки. Более вероятен доступ либо через конфискацию устройств, либо через взлом.
Международный удар против Злодеяния
Бумажник также мог быть частью более крупного изъятия, произведенного месяц назад. Ранее в ноябре Министерство юстиции США предъявило обвинения украинцу и россиянину в том, что они стоят за одной из самых страшных атак на американцев с использованием вымогательского ПО.
В частности, речь идет об атаке на поставщика программного обеспечения Kaseya в июле с помощью программы-вымогателя REvil. Поскольку его программное обеспечение находится в многочисленных системах, атака прошла по всему миру. Пострадали тысячи компаний, включая, например, все коопы в Швеции.
Supply chain attacks continue to have a widespread impact and this is an example of how deep they can go.
800 supermarkets closed because of their POS provider’s MSP’s software provider experiencing a ransomware attack.
= A mouthful of supply chain risk. https://t.co/EdtrZF6Z0U
— Sandeep Kumar (@deepsand) July 3, 2021
Украинец Ярослав Васинский был арестован в Польше в октябре того же года. Его и его российского коллегу Евгения Полынина обвиняют во взломе компьютеров жертв и установке на них программы-вымогателя REvil. В отличие от Васинского, Полынин до сих пор находится на свободе.
В ходе этих расследований власти США конфисковали биткоины и Monero на сумму более шести миллионов долларов, которые пошли на оплату выкупа. Помимо ФБР, в расследовании участвовали Европол и другие полицейские агентства.
По данным Европола, в начале ноября в Румынии были арестованы еще двое обвиняемых в распространении программы REvil ransomware, а власти Южной Кореи подтвердили, что арестовали трех подозреваемых. В общей сложности следователи преследовали 12 подозреваемых, обвиняемых в совершении атак с использованием ransomware в 71 стране.
Не идеальное преступление
В течение долгого времени программы-выкупы считались «идеальным преступлением», поскольку казалось, что выследить преступников практически невозможно. Сейчас, похоже, ситуация постепенно меняется. Об этом говорят хотя бы успехи следствия против REvil.
Одной из причин этого может быть то, что хакеры-вымогатели зашли слишком далеко. Взлом известной юридической фирмы уже был достаточным поводом для правительства США говорить о «кибертерроризме»; продолжающиеся атаки на городские администрации, больницы и университеты, вероятно, истощили терпение властей; взлом Colonial Pipeline, а также Kasey стали той соломинкой, которая сломала спину верблюду.
Биткойн и даркнет заставляют правоохранительные органы всего мира сотрудничать на сверхнациональном уровне. Мы уже знаем это по иногда впечатляющим успехам в борьбе с рынками даркнета. Теперь полиция последовательно использует ресурсы и компетенции, накопленные в ходе этого процесса, в борьбе с ransomware.
Кроме того, перспективным представляется изменение стратегии. Кимберли Гуди, директор фирмы по безопасности Mandiant, объяснила, что принятие мер против филиалов может быть более перспективным, чем против ядра банды ransomware. Это связано не только с тем, что филиалы находятся ближе к месту преступления — они, а не авторы выкупных программ взламывают компьютеры, — но и с тем, что они часто менее осторожны, и «их навыки более востребованы, чем программное обеспечение для шифрования». Некоторые филиалы также работают на несколько банд. Поэтому может оказаться, что узким местом в экономике ransomware являются не столько разработчики программного обеспечения, сколько аффилированные лица.
На самом деле, похоже, трудно добраться до создателей самого программного обеспечения. Создатели REvil уже отказались от участия в проекте летом после взлома Colonial Pipeline. Предположительно, они поняли, что этим была перейдена черта.
