Погружение внутрь процветающего рынка вирусов-вымогателей

Погружение внутрь процветающего рынка вирусов-вымогателей

Криминальные онлайн-рынки изобилуют предложениями вредоносов-вымогателей, рекламируемых буквально повсеместно. Некоторым киберпреступникам, участвующим в этой бурно развивающейся экономике, удается зарабатывать более 100 000 долларов в год. Проанализировав рынок программ-вымогателей, можно обнаружить некоторые интересные факты о быстро развивающейся киберкриминальной экономике. По аналогии с легитимными рынками, на рынке вымогателей доминируют индивидуальные решения и предложения под ключ.

 

 

  1. Введение
  2. Вымогательство — процветающий рынок
  3. Как работают цепочки поставок программ-вымогателей
  4. Остановить вымогатели и уничтожить рынок
  5. Выводы

Введение

В течение двух месяцев исследователи изучали, как разрабатываются и продаются программы-вымогатели в даркнете. Оказалось, что на этом черном рынке существуют около 45 тысяч продуктов, предлагаемых сотнями продавцов.

Общая экономика вымогателей показала рост в 2 500%, с примерно 250 000 долларов до 6,24 миллиона долларов (с 2016 по 2017 год).

Так что же происходит после покупки вымогателя? Легко предположить, что купивший такую программу человек запускают вредоносную кампанию, собирает деньги жертв и движется дальше. Однако в реальности все происходит совсем иначе.

Рисунок 1. Уведомление программы-вымогателя о том, что файлы жертвы зашифрованы

В то время как некоторые продавцы зарабатывают более 100 000 долларов в год, продавая вредоносные программы-вымогатели, другие едва ли достигают точки безубыточности.

Что касается разработчиков вымогателей — они могут создавать индивидуальные решения и функциональные комплекты, которые не требуют практически никакого опыта. Это очень ценится на рынке, за это готовы платить большие деньги.

Вымогательство — процветающий рынок

Предложения вымогателей варьируются от базовых ($10) до нацеленных на Android ($250) и кастомизируемых ($1400). Чем больше настроек требуется, тем, соответственно, выше цена. Самое дорогое предложение, на которое наткнулись исследователи, равнялось $3000, но весь комплект был полностью настроен и нацелен на определенные кампании.

Если говорить подробнее о настройках, авторы вымогателей предлагают ряд опций, включая уровень шифрования, настройку шифрования на определенный тип файлов, возможность удаления файлов при перезагрузке системы, устойчивость к удалению, даже принудительный таймер, удаляющий файлы каждые 24 часа, если выкуп не выплачивается.

Широкий выбор вариантов является одной из причин того, что рынок вымогателей процветает. Другая причина — доступность. С очень небольшими расходами у каждого есть возможность провести вредоносную кампанию приличного размера.

Наконец, сами жертвы являются ключевой причиной такого успеха рынка вымогателей. Они продолжают платить за восстановление своих файлов. В 2016 году, по оценкам ФБР, пользователями было выплачено более 1 миллиарда долларов США. Если бы жертвы перестали платить, злоумышленники бы перешли к более прибыльным схемам.

Организации, у которых нет резервных копий или плана восстановления важных файлов, сталкиваются со сложной ситуацией при атаке вымогателя — потерять файлы или же выплатить злоумышленникам требуемую сумму.

Эксперты, например, провели среди организаций опрос — как они поступят в случае заражения зловредом-шифровальщиком, заплатят ли выкуп? 52 % ответили, что они это сделают.

Как работают цепочки поставок программ-вымогателей

Цепочка поставок вымогателей не слишком сложная, мало чем отличающаяся от любой легитимной. Разработчики создают продукт, а затем предлагают надстройки (так называемые аддоны) и поддержку, поэтому здесь существует потребность в хороших навыках программирования.

Есть разные схемы продажи: например, часто киберпреступники разрабатывают базовый комплект или предлагают модель «вымогатель как услуга» (Ransomware-as-a-Service, RaaS).

В случае RaaS зачастую не требуются какие-либо навыки, необходимые для запуска вредоносной кампании. В большинстве случаев разработчики вымогателей предоставляют техническую поддержку. Также в этой модели существует два типа клиентов: доверенные и общие. Репутация имеет значение: чем она лучше, тем больше денег сможете получить от любой сделки.

Кроме того, большинство предложений RaaS имеют обширные показатели, позволяющие оценивать эффективность и прибыль. В этой модели автор вымогателя наиболее защищен, так как дистрибьютор принимает на себя большую часть риска.

Остановить вымогатели и уничтожить рынок

Что касается атак вымогателей, то здесь у киберзащитников есть преимущество — им достаточно разрушить лишь одно звено цепочки, чтобы вся атака развалилась. Однако преследование операторов и распространителей программ-вымогателей не решает проблемы. По мнению специалистов, для успешной борьбы с рынком вымогателей необходимо принять меры, чтобы нарушить цепочку поставки, изменить стимул для авторов вредоносных программ.

В частности, требуется свести к минимуму окупаемость инвестиций, что естественным образом уменьшит стимул киберпреступников разрабатывать вымогатели.

Выводы

Из анализа рынка вымогателей можно сделать вывод, что ключом к пресечению вредоносной деятельности является прекращение платежей. Не зря злоумышленники постоянно фокусируются на определенных целях, которые, по их мнению, могут заплатить. Специалисты также отмечают халатный подход к безопасности на предприятиях — нерегулярно создаются или вообще не создаются резервные копии; инфраструктура предприятий не тестируется на проникновение; уязвимости не устраняются соответствующими обновлениями.

В нынешней ситуации необходимо помнить об этих мерах, а также, если есть такая возможность, ни в коем случае не платить злоумышленникам и тем самым не стимулировать их рынок.

Видео 1. Эксперимент с заражением ноутбука вредоносом-шифровальщиком

 

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru