Сводная группа исследователей, в которую вошли специалисты Калифорнийского университета в Сан-Диего, Нью-Йоркского университета, компаний Google и VirusTotal, а также блокчейн аналитики Chainalysis, представила на конференции Black Hat интересный анализ (PDF), проливающий свет на механизмы работы 34 семейств вымогательского ПО.
В своем докладе специалисты подвели итоги работы проекта Tracking Ransomware End to End, в ходе которого было изучено поведение 34 семейств вымогателей. Изначально в руках специалистов было 154 227 бинарников, но потом набор данных расширился до 301 588 бинарников (помогла покупка VirusTotal компанией Google).
Эксперты создали специальный скрипт, который анализировал бинарники и извлекал из них данные о любых платежных сайтах или адресах криптовалютных кошельков, которые затем передавали специалистам Chainalysis, чтобы те проследили движение денежных средств, если это возможно. В результате команде удалось собрать внушительную статистическую базу, содержащую данные за последние три с половиной года. Результаты исследования наглядно иллюстрируют развитие вымогательского ПО и позволяют понять, как часто жертвы платят злоумышленникам, как именно это происходит, и что потом случается с этими деньгами.
Пока наиболее «прибыльным» годом для операторов вымогательского ПО остается прошлый, 2016 год. Сумма ежемесячных платежей, поступавших от жертв малвари, в этом году часто превышала отметку в один и даже два миллиона долларов. На графике ниже можно увидеть, что в 2016 году вообще произошел достаточно резкий скачок, который исследователи объясняют появлением шифровальщиков Locky и Cerber. Успех первого – прямая заслуга огромного спамерского ботнета Necurs, а успех второго объясняется тем, что это одно из наиболее простых и доступных RaaS-решений на черном рынке.
По данным специалистов Google, операторы Locky «заработали» на своем детище 7,8 млн долларов, тогда как Cerber принес своим авторам 6,9 млн долларов. На третьей строчке этого рейтинга находится вымогатель CryptoLocker, но разрыв с лидерами велик: разработчики CryptoLocker получили выкупов на сумму 2 млн долларов.
Одним из наиболее интересных аспектов доклада также является анализ схем вывода денег, которыми злоумышленники пользуются для конвертации полученных в биткоин эквиваленте выкупов. Исследователи выяснили, что в 95% случаев денежные средства жертв оканчивали свой путь в кошельках на бирже BTC-e, после чего преступники обналичивали деньги.
Напомню, что ранее на этой неделе биржа BTC-e ушла в оффлайн, а позже стало известно, что один из ее основателей, гражданин России Александр Винник, был арестован в Греции и теперь ожидает экстрадиции в США. Американские власти связывают Винника с хищением средств у пользователей обменника Mt. Gox и отмыванием четырех миллиардов долларов.
