Компания SentinelOne опубликовала результаты анализа последней версии одного из наиболее популярных троянов-вымогателей — CryptXXX. Её специалисты установили, куда именно уходит выкуп, который платят жертвы. В результате стало известно, сколько зарабатывают владельцы вредоносной программы.
Специалисты компании выяснили, что анализируемой версии CryptXXX соответствует единственный адрес Bitcoin. Поскольку информация о всех сделках Bitcoin хранится в общедоступной базе данных, не составляет труда проследить всю активность, связанную с этим адресом.
Оказалось, что с 4 июня до 21 июня на адрес поступило 70 биткоинов. Одинаковая величина всех платежей подтверждает, что эти деньги, скорее всего, были отправлены в качестве выкупа. При текущем курсе криптовалюты (около 41 тысячи рублей за биткоин) такая сумма соответствует 2890486,25 рублей. Иными словами, в течение семнадцати дней июня злоумышленники заработали без малого три миллиона рублей.
Накапливающиеся деньги регулярно выводятся со счёта, причём всякий раз на новые адреса. Это может свидетельствовать о том, что владельцы CryptXXX используют криптовалютный анонимизатор (tumbler), чтобы затруднить отслеживание переводов.
Интересно, что до 4 июня на их адрес не поступило ни единого платежа. В то же время известно, что CryptXXX действует больше двух месяцев. Очевидно, что до 4 июня он тоже приносил доход, просто деньги направлялись не на тот адрес, который обнаружили исследователи.
В SentinelOne полагают, что найденный адрес соответствует лишь одной из кампаний по распространению CryptXXX. В действительности этот троян-вымогатель использует множество адресов Bitcoin. За всё время существования этой вредоносной программы её создатели заработали существенно больше трёх миллионов рублей.
Специалисты SentinelOne также сообщают об изменениях, замеченных в новой версии CryptXXX. Главное из них — более стойкое шифрование, которое невозможно пробить при помощи выпущенной «Лабораторией Касперского» утилиты. Кроме того, теперь троян тщательнее удаляет файлы, чтобы их нельзя было восстановить.