Исследователи компаний Check Point и IntSights Cyber Intelligence опубликовали детальный отчет на 60 страницах, посвященный деятельности шифровальщика Cerber. Специалисты называют Cerber одной из крупнейших в мире «франшиз» такого рода и рассказывают о том, что ransomware-as-a-service (RaaS) приносит операторам и авторам порядка 2,3 млн долларов в год.
Эксперты Check Point наблюдают за деятельностью Cerber уже давно, и каждый день они обнаруживают в среднем восемь новых вымогательских кампаний. Отчет в очередной раз подчеркивает, что благодаря бизнес-модели RaaS киберпреступником может стать буквально каждый, а масштабы этой индустрии становятся все больше. Так, согласно данным ФБР, только за первые три месяца 2016 года авторы и операторы различных шифровальщиков заработали более 209 млн долларов.
Среди наиболее интересных выводов, представленных в отчете, можно отметить следующие:
- Среди всех программ-вымогателей масштабы распространения и прибыль Cerber намного больше. На сегодняшний день Cerber запустил по всему миру более 160 активных кампаний с общим ежегодным прогнозируемым доходом около 2,3 миллиона долларов. Каждый день в среднем запускаются 8 новых кампаний. Только в июле исследователи обнаружили около 150 000 жертв в 201 стране и регионах.
- Общая «выручка» за июль составила порядка 195 000 долларов, из них 78 000 долларов осели в карманах разработчиков малвари, а остальное разделили между собой аффилиаты. То есть авторы шифровальщика зарабатывают порядка 946 000 долларов год.
- Аффилированные организации Cerber стали успешными отмывателями денег. Cerber использует криптовалюту Bitcoin, чтобы избежать слежки, и создает уникальный кошелек для каждой из своих жертв, чтобы получить от них выкуп за зашифрованные файлы. После выплаты выкупа (обычно размером в один биткоин, что на сегодняшний день соответствует 590 долларам) жертва получает ключ дешифровки. Оплата передается разработчику вредоносного ПО через перемешивающий сервис, использующий десятки тысяч BitCoin-кошельков, что делает отслеживание индивидуальных транзакций практически невозможным. В конце этого длинного процесса деньги поступают разработчику, а аффилированная организация получает свой процент.
- Cerber открывает двери для новых потенциальных хакеров. Cerber позволяет любым пользователям, не владеющим технологиями, участвовать в чрезвычайно прибыльном бизнесе и запускать собственные независимые кампании. Для организации атак они получают группу выделенных командных серверов (С&С) и комплексный, удобный в использовании интерфейс управления, переведенный на 12 языков мира.
С января 2016 года Check Point и IntSight занимались составлением комплексной карты запутанной системы, созданной благодаря распространению Cerber. Исследователи смогли регенерировать кошельки реальных жертв и затем эффективно отслеживать платежи и транзакции. В результате они получили сведения о доходах от использования вредоносной программы и о денежных потоках, с ним связанных (см. схему выше).
«Исследование дает редкую возможность взглянуть на природу и глобальные цели развивающейся индустрии «ransomware-as-a-service», — говорит Василий Дягилев, глава представительства компании Check Point Software Technologoes в России и СНГ.
С полной версией отчета можно ознакомиться здесь.
Фото: Wired