Специалисты компании Imperva проанализировали работу операторов шифровальщика CryptoWall, проследив всего за одной вредоносной кампанией из многих. Ранее уже сообщалось, что вымогательское ПО приносит своим операторам миллионы долларов, и эксперты в очередной раз подтвердили этот печальный факт.
Анализу специалистов подверглись три образчика CryptoWall 3.0, обнаруженные в системах клиентов Imperva. Малварь нашли в спамерских письмах, где она маскировалась под ZIP-архивы, а также файлы .pdf и .html.
Для каждой жертвы CryptoWall 3.0 генерирует кастомное, индивидуальное требование выкупа, базирующееся на имени хоста, что и позволило специалистами проследить за работой малвари. Аналитики сумели извлечь из вредоноса все известные ему биткоин-адреса, меняя имя хоста атакуемой машины.
В итоге эксперты создали карту биткон-кошельков, на которые жертвы шифровальщика отправляли выкуп. В общем потоке транзакций оказалось не так сложно выявить переводы, имеющие отношение к работе вымогателя. Дело в том, что сумма выкупа, как правило, составляет стандартные $500-700. Это знание позволило подсчитать примерные объемы прибыли операторов малвари.
Всего операторы данной вредоносной кампании использовали 140 разных биткоин-кошельков. Исследователям удалось зафиксировать 670 транзакций, которые были классифицированы как перевод выкупа злоумышленникам. Наблюдение за деятельностью группы длилось три месяца: май, июнь и июль 2015 года. За это время пострадавшие перевели хакерам 1217 BC, что равняется $337607 по текущему курсу. Получается, что в год операторы малвари зарабатывают около 1,3 млн долларов.
Фото: Steven Depolo
