Сербский независимый исследователь GrujaRS обнаружил в даркнете странный проект под названием Shark, который предлагает всем желающим одноименное вымогательское ПО. Странность заключается в том, что Shark распространяется совершенно бесплатно. Заподозрив какое-то мошенничество, исследователь изучил малварь, но оказалось, что шифровальщик Shark на самом деле работает.
Малварь поставляется в виде архива, содержащего файлы ReadMe.txt, Payload Builder.exe (архив, похоже, с сюрпризом) и Shark.exe. Readme гласит:
«Внимание! Мы рекомендуем использовать виртуальную машину во время работы с этими файлами. И не запускайте payload.exe на своем ПК. Удачи!»
Shark.exe представляет собой готовую к работе версию вымогателя, а Payload Builder.exe, соответственно, является билдером, при помощи которого любой начинающий злоумышленник может кастомизировать шифровальщика, создав собственную версию.
Билдер позволяет задать произвольное расширение для зашифрованных файлов, выбрать, какие именно директории будет атаковать малварь, задать адрес биткоин-кошелька и составить собственное сообщение с требованием выкупа. Также билдер имеет фильтр по странам, позволяя назначить разный размер выкупа для жертв в разных регионах.
Но зачем кому-то распространять абсолютно бесплатную малварь, к тому же, укомплектованную билдером, в чем подвох? Как оказалось, все крайне просто: авторы вымогателя Shark используют централизованную систему платежей и демонстрируют новый подход к бизнес-модели ransomware-as-a-service (RaaS). Авторы шифровальщика оставляют себе 20% от всех полученных выкупов, а 80% средств получают операторы малвари.
«50% от общей суммы выглядели бы не слишком заманчиво, а вот 80% — это звучит хорошо, — говорит GrujaRS. — К сожалению, многие молодые люди не устоят перед искушением. К сожалению, этому злу нет конца. Ящик Пандоры уже открыт».
Интересно, что рекламировался Shark в основном посредством банального спама, за что проект забанен на многих андеграундных форумах, вроде Megatop. Также многие склонны относиться к Shark, как скаму: более опытные мошенники хитростью вынуждают новичков пользоваться своей малварью и тем самым генерировать прибыли.
Сколь бы странным ни казался проект Shark, GrujaRS установил, что всеми заявленными функциями шифровальщик действительно обладает и работает как должно. Ниже можно увидеть демонстрацию работы вредоноса, записанную исследователем.