Не все вирусописатели готовы работать по модели ransomware-as-a-service (RaaS), столь популярной на черном рынке в последнее время. Так, специалисты компании Forcepoint обнаружили, что автор шифровальщика CradleCore решил продавать не «подписку», а исходные коды своей малвари.
Исследователи сообщают, что CradleCore написан на C++, и помимо самого вымогателя в комплект входят также все необходимые PHP-скрипты и платежная панель. Разработчик CradleCore оценил своего шифровальщика в 0,35 биткоинов (около $400 по текущему курсу), но замечает, что торг уместен.
Изучив это предложение более внимательно, специалисты Forcepoint пришли к выводу, что в скором будущем можно ожидать появления множества вымогателей, созданных на базе CradleCore. Дело в том, что в набор входит практически все необходимое, и малварь полностью готова к работе. Так, CradleCore использует Blowfish для шифрования файлов, поддерживает шифрование в оффлайне, умеет обнаруживать, если запущен в песочнице, использует Tor2Web для связи с управляющими серверами.
По словам исследователей, некоторые комментарии разработчика CradleCore указывают на то, что он не профессиональный вирусописатель, но обычный фрилансер и разработчик софта, который решил попробовать себя на поприще написания малвари. Дело в том, что специалисты сумели отследить рекламу CradleCore до обычного сайта в интернете, хостящегося у компании Linode. Так они нашли персональный сайт разработчика-фрилансера, который пишет на C++, а также ссылки на его аккаунты в Twitter и LinkedIn.
Тем не менее, пока исследователи не могут предоставить доказательств того, что владелец сайта на Linode напрямую связан с разработкой малвари CradleCore. Исследователи отмечают, что нельзя исключать возможность того, что сайт или хостинг (Linode) мог быть скомпрометирован.
