Компания SentinelOne опубликовала результаты анализа последней версии одного из наиболее популярных троянов-вымогателей — CryptXXX. Её специалисты установили, куда именно уходит выкуп, который платят жертвы. В результате стало известно, сколько зарабатывают владельцы вредоносной программы.
Специалисты компании выяснили, что анализируемой версии CryptXXX соответствует единственный адрес Bitcoin. Поскольку информация о всех сделках Bitcoin хранится в общедоступной базе данных, не составляет труда проследить всю активность, связанную с этим адресом.
Оказалось, что с 4 июня до 21 июня на адрес поступило 70 биткоинов. Одинаковая величина всех платежей подтверждает, что эти деньги, скорее всего, были отправлены в качестве выкупа. При текущем курсе криптовалюты (около 41 тысячи рублей за биткоин) такая сумма соответствует 2890486,25 рублей. Иными словами, в течение семнадцати дней июня злоумышленники заработали без малого три миллиона рублей.
Накапливающиеся деньги регулярно выводятся со счёта, причём всякий раз на новые адреса. Это может свидетельствовать о том, что владельцы CryptXXX используют криптовалютный анонимизатор (tumbler), чтобы затруднить отслеживание переводов.
Интересно, что до 4 июня на их адрес не поступило ни единого платежа. В то же время известно, что CryptXXX действует больше двух месяцев. Очевидно, что до 4 июня он тоже приносил доход, просто деньги направлялись не на тот адрес, который обнаружили исследователи.
В SentinelOne полагают, что найденный адрес соответствует лишь одной из кампаний по распространению CryptXXX. В действительности этот троян-вымогатель использует множество адресов Bitcoin. За всё время существования этой вредоносной программы её создатели заработали существенно больше трёх миллионов рублей.
Специалисты SentinelOne также сообщают об изменениях, замеченных в новой версии CryptXXX. Главное из них — более стойкое шифрование, которое невозможно пробить при помощи выпущенной «Лабораторией Касперского» утилиты. Кроме того, теперь троян тщательнее удаляет файлы, чтобы их нельзя было восстановить.
h0lera
29.06.2016 в 00:30
поясни что ты имел ввиду. «криптовалютный анонимизатор»?
если всё прослеживается по блокчейнам откуда-куда передавали лавэ, то почему в оконцовке не ловят того на чью карту скидываются реальные бабулеты?
допустим одноразовая карта оформлена на алканафта-бомжа. но в таких масштабах выйти на реального организатора можно.
вопрос почему это сегодня в тренде и почему монопольная организация swift-visa-master не решает эту проблему? ведь им по сути подконтрольна вся мировая финансовая система. им это выгодно? или слишком дорого расследовать и заниматься поисками мелкой сошки? 50к для них это не деньги. но ведь за последние годы в совокупности это обрело уже форму целой индустрии… да и для этих кренделей кто пишет эту малварь. либо они в стране где нет экстрадиции и они не планируют эту страну до пенсии покидать, либо они не прочь провести остаток дней. в пендосии за такие шутки полагается сроки от 25 лет и выше.
Олег Парамонов
29.06.2016 в 02:18
На счёте анонимизатора (tumbler или mixer) смешиваются деньги разных пользователей. Потом сервис со случайной задержкой случайными порциями раздаёт их адресатам. В блокчейне видно, как анонимизатор получает деньги из разных источников, видно, как он отправляет их адресатам, но невозможно определить соответствие между источниками и получателями.
К визе и мастеркарду или к банкам это в принципе не имеет отношения. Они в лучшем случае видят перевод на счёт клиента, полученный от обменника биткоинов. У них нет данных, позволяющих связать этот перевод с преступлением.
clicker314
29.06.2016 в 17:37
Олег нормально объяснил. Спасибо.
h0lera
29.06.2016 в 22:28
«Человеку, не занимающемуся преступной деятельностью никакого интереса оплачивать услуги биткоин-миксера — нет. Хотя почему то такие услуги стоят не дорого.
Получается в такую ловушку в основном и полезут только те кому нужно заметать свои следы. То есть, наркоделец перемешал свои биткоины с торговцем оружия и после этого они оба могут быть
спокойны ? — Мол деньги отмыты ! Где же таких глупых наркобаронов можно найти ?»
h0lera
29.06.2016 в 22:27
«Вернемся к тем же биткоин-миксерам — теоретически для столь четкого смешивания, что бы обеспечить анонимность (что следов даже не возможно было отыскать) даже всего 1-го единственного биткоина (БТС) состоящего из 100 миллионов сатощи нужно других хотя бы 1 миллион сатоши поступивших из разных источников. И сколько же нужно ждать, что бы появилось столько источников ? С которыми (заметьте источников достаточно чистых — не замаранных операциями с наркотиками, торговлей оружием и другими грязными делами должно быть хотя бы половина) можно было перемещать сатоши всего одного биткоина.»
babysane
29.06.2016 в 09:38
«теперь троян УДАЛЯЕТ тщательнее УДАЛЯЕТ файлы»
perguunt
03.07.2016 в 16:17
Вот я тоже это не понял. Он шифрует или удаляет файлы?
GEEKsogen
03.07.2016 в 19:45
Шифрует, а затем физически удаляет исходный файл