Компания SentinelOne опубликовала результаты анализа последней версии одного из наиболее популярных троянов-вымогателей — CryptXXX. Её специалисты установили, куда именно уходит выкуп, который платят жертвы. В результате стало известно, сколько зарабатывают владельцы вредоносной программы.

Специалисты компании выяснили, что анализируемой версии CryptXXX соответствует единственный адрес Bitcoin. Поскольку информация о всех сделках Bitcoin хранится в общедоступной базе данных, не составляет труда проследить всю активность, связанную с этим адресом.

Оказалось, что с 4 июня до 21 июня на адрес поступило 70 биткоинов. Одинаковая величина всех платежей подтверждает, что эти деньги, скорее всего, были отправлены в качестве выкупа. При текущем курсе криптовалюты (около 41 тысячи рублей за биткоин) такая сумма соответствует 2890486,25 рублей. Иными словами, в течение семнадцати дней июня злоумышленники заработали без малого три миллиона рублей.

payment-pageНакапливающиеся деньги регулярно выводятся со счёта, причём всякий раз на новые адреса. Это может свидетельствовать о том, что владельцы CryptXXX используют криптовалютный анонимизатор (tumbler), чтобы затруднить отслеживание переводов.

Интересно, что до 4 июня на их адрес не поступило ни единого платежа. В то же время известно, что CryptXXX действует больше двух месяцев. Очевидно, что до 4 июня он тоже приносил доход, просто деньги направлялись не на тот адрес, который обнаружили исследователи.

В SentinelOne полагают, что найденный адрес соответствует лишь одной из кампаний по распространению CryptXXX. В действительности этот троян-вымогатель использует множество адресов Bitcoin. За всё время существования этой вредоносной программы её создатели заработали существенно больше трёх миллионов рублей.

Специалисты SentinelOne также сообщают об изменениях, замеченных в новой версии CryptXXX. Главное из них — более стойкое шифрование, которое невозможно пробить при помощи выпущенной «Лабораторией Касперского» утилиты. Кроме того, теперь троян тщательнее удаляет файлы, чтобы их нельзя было восстановить.



8 комментариев

  1. h0lera

    29.06.2016 at 00:30

    поясни что ты имел ввиду. «криптовалютный анонимизатор»?
    если всё прослеживается по блокчейнам откуда-куда передавали лавэ, то почему в оконцовке не ловят того на чью карту скидываются реальные бабулеты?
    допустим одноразовая карта оформлена на алканафта-бомжа. но в таких масштабах выйти на реального организатора можно.
    вопрос почему это сегодня в тренде и почему монопольная организация swift-visa-master не решает эту проблему? ведь им по сути подконтрольна вся мировая финансовая система. им это выгодно? или слишком дорого расследовать и заниматься поисками мелкой сошки? 50к для них это не деньги. но ведь за последние годы в совокупности это обрело уже форму целой индустрии… да и для этих кренделей кто пишет эту малварь. либо они в стране где нет экстрадиции и они не планируют эту страну до пенсии покидать, либо они не прочь провести остаток дней. в пендосии за такие шутки полагается сроки от 25 лет и выше.

    • Олег Парамонов

      29.06.2016 at 02:18

      На счёте анонимизатора (tumbler или mixer) смешиваются деньги разных пользователей. Потом сервис со случайной задержкой случайными порциями раздаёт их адресатам. В блокчейне видно, как анонимизатор получает деньги из разных источников, видно, как он отправляет их адресатам, но невозможно определить соответствие между источниками и получателями.

      К визе и мастеркарду или к банкам это в принципе не имеет отношения. Они в лучшем случае видят перевод на счёт клиента, полученный от обменника биткоинов. У них нет данных, позволяющих связать этот перевод с преступлением.

      • clicker314

        29.06.2016 at 17:37

        Олег нормально объяснил. Спасибо.

        • h0lera

          29.06.2016 at 22:28

          «Человеку, не занимающемуся преступной деятельностью никакого интереса оплачивать услуги биткоин-миксера — нет. Хотя почему то такие услуги стоят не дорого.
          Получается в такую ловушку в основном и полезут только те кому нужно заметать свои следы. То есть, наркоделец перемешал свои биткоины с торговцем оружия и после этого они оба могут быть
          спокойны ? — Мол деньги отмыты ! Где же таких глупых наркобаронов можно найти ?»

      • h0lera

        29.06.2016 at 22:27

        «Вернемся к тем же биткоин-миксерам — теоретически для столь четкого смешивания, что бы обеспечить анонимность (что следов даже не возможно было отыскать) даже всего 1-го единственного биткоина (БТС) состоящего из 100 миллионов сатощи нужно других хотя бы 1 миллион сатоши поступивших из разных источников. И сколько же нужно ждать, что бы появилось столько источников ? С которыми (заметьте источников достаточно чистых — не замаранных операциями с наркотиками, торговлей оружием и другими грязными делами должно быть хотя бы половина) можно было перемещать сатоши всего одного биткоина.»

  2. babysane

    29.06.2016 at 09:38

    «теперь троян УДАЛЯЕТ тщательнее УДАЛЯЕТ файлы»

Оставить мнение