Вымогательство как услуга. Кто и за сколько предлагает в даркнете помочь с вымогательством

Но нач­нем мы с того, что раз­берем­ся в исто­рии вымога­тель­ской мал­вари.

Эволюция цифрового гоп-стопа

Пер­вая зафик­сирован­ная эпи­демия шиф­роваль­щика про­изош­ла в 1989 году, ког­да нор­веж­ский биолог Джо­зеф Попп разос­лал по поч­те дис­кету, эти­кет­ка которой обе­щала прос­ветитель­скую информа­цию о СПИ­Де. В реаль­нос­ти прог­рамма внед­рялась в AUTOEXEC.BAT, скры­вала пап­ки и пов­режда­ла фай­лы. Во вре­мя сле­дующей заг­рузки поль­зователь видел пред­ложение обно­вить лицен­зию ОС, отпра­вив 189 дол­ларов по поч­те в Панаму на счет ком­пании PC Cyborg Corporation, даль­ше компь­ютер не заг­ружал­ся.

В осно­ве AIDS лежала сим­метрич­ная крип­тогра­фия, то есть для шиф­рования и рас­шифров­ки информа­ции исполь­зовал­ся один и тот же ключ, поэто­му таб­летку от вируса сде­лали доволь­но быс­тро. Поп­па вско­ре наш­ли, но приз­нали нев­меня­емым и отпра­вили на лечение. Соз­датель пер­вого вымога­теля прос­лавил­ся тем, что носил на голове кар­тонную короб­ку для защиты от ради­ации.

На про­тяже­нии сле­дующих шес­тнад­цати лет слу­чаи зараже­ния прог­рамма­ми‑вымога­теля­ми были все еще ред­ки, нес­мотря на раз­витие интерне­та. Все изме­нилось в 2005 году пос­ле того, как по сети ста­ла рас­простра­нять­ся вре­донос­ная прог­рамма GPCoder.

GPCoder зашиф­ровывал информа­цию, исполь­зуя прод­винутый для тех вре­мен крип­тогра­фичес­кий алго­ритм RSA. Чуть поз­же появил­ся Archievus, который энкрип­тил фай­лы толь­ко в пап­ке «Мои докумен­ты». Оба вре­доно­са при­носи­ли соз­дателям малый про­фит, потому что анти­виру­сы лег­ко их находи­ли и уда­ляли.

Вре­донос Vundo, который начали при­менять для вымога­тель­ства Bitcoin в 2009 году, тоже про­валил­ся. Прог­раммис­ты ком­пании FireEye написа­ли скрипт для рас­шифров­ки дан­ных за нес­коль­ко дней и оста­вили девело­перов Vundo без при­были.

В 2011 году воз­ник новый вид прог­рамм‑вымога­телей — WinLock. Вмес­то того что­бы зашиф­ровывать информа­цию, локеры бло­киро­вали дос­туп к Windows и выводи­ли на экран фей­ковое меню для акти­вации ОС. Жер­твам пред­лагали поз­вонить в служ­бу под­дер­жки или отпра­вить SMS, что­бы получить код. За зво­нок и сооб­щение взи­мали пла­ту, которая перечис­лялась пря­миком в кар­ман рэкети­рам.

Тем не менее биз­нес‑модель, осно­ван­ная на при­мене­нии локеров, ока­залась про­валь­ной. В 2012 году вымога­тели зарабо­тали лишь 5 мил­лионов дол­ларов. Сум­ма серь­езная, но по мер­кам сов­ремен­ных угроз — ерун­да. Поэто­му уже в сле­дующем году хакеры вер­нулись к исто­кам циф­рового шан­тажа и ста­ли исполь­зовать модифи­циро­ван­ную вер­сию шиф­роваль­щика CryptoLocker.

Глав­ное отли­чие CryptoLocker от Vundo зак­лючалось в том, что зашиф­рован­ные фай­лы было невоз­можно вос­ста­новить, так как для их дешиф­ровки тре­бовал­ся 2048-бит­ный ключ, который мож­но было получить в онлай­новой служ­бе пос­ле опла­ты. Все­го лишь за два месяца доход соз­дателей мал­вари дос­тиг 27 мил­лионов дол­ларов в бит­кой­нах.

В 2014 году пос­ле зах­вата анти­вирус­ными спе­циалис­тами бот­нета Gameover ZeuS, через который рас­простра­нял­ся CryptoLocker, на рын­ке прог­рамм‑вымога­телей начали домини­ровать его кло­ны — CryptoWall и TorrentLocker. В 2016 году спе­циалис­ты обна­ружи­ли пер­вый вирус‑вымога­тель под наз­вани­ем KeRanger, пред­назна­чен­ный для зараже­ния маков. Спус­тя нес­коль­ко месяцев кибер­безопас­ники иден­тифици­рова­ли мно­гоп­рофиль­ный тро­ян Ransom32, спо­соб­ный инфи­циро­вать ком­пы с Windows, Mac или Linux.

В мае 2017 года с появ­лени­ем крип­точер­вя WannaCry началась новая эра в исто­рии циф­рового гоп‑сто­па. WannaCry экс­плой­тил уяз­вимость EternalBlue в Windows, уста­нав­ливал бэк­дор, заг­ружал код шиф­роваль­щика и, заразив один компь­ютер, быс­тро рас­простра­нял­ся по локаль­ной сети. За год червь про­лез в 520 тысяч устрой­ств и нанес ущерб на 4 мил­лиар­да дол­ларов. Сов­ремен­ник WannaCry — крип­точервь Petya, который исполь­зовал тот же самый экс­пло­ит Windows. Вред от «Пети» пре­высил 3 мил­лиар­да дол­ларов.

В 2018 году на элек­трон­ную поч­ту поль­зовате­лей сети начали при­ходить пись­ма с ори­гиналь­ным вре­доно­сом GandCrab. Вымога­тели соб­лазня­ли юзе­ров любов­ными пос­лани­ями и архи­вами с роман­тичны­ми наз­вани­ями, нап­ример, Love_You_2018. Но архи­вы были с изю­мин­кой — дис­три­бути­вом, заг­ружа­ющим GandCrab. В 2019 году раз­работ­чики «Кра­ба» повеси­ли клеш­ни на гвоздь, сор­вав куш при­мер­но в 2 мил­лиар­да дол­ларов.

Эс­тафет­ную палоч­ку перех­ватили злые гении, сто­ящие за изоб­ретени­ем вымога­теля REvil, извес­тно­го так­же под име­нем Sodinokibi. ИБ‑спе­циалис­ты наш­ли сов­падения в кодах GandCrab и Sodinokibi, а так­же выяс­нили, что в обо­их исполь­зуют­ся прак­тичес­ки оди­нако­вые фун­кции декоди­рова­ния строк. Поэто­му экспер­ты уве­рены, что REvil — это пря­мой нас­ледник GandCrab.

На вол­не хай­па вок­руг WannaCry и Petya в дар­кне­те запус­тили сер­висы Ransomware as a Service (RaaS) — тул­киты и плат­формы для выпол­нения атак и получе­ния выкупа. Льви­ная доля кли­ент­ской базы RaaS при­ходит­ся на ламеров, которые стре­мят­ся сру­бить капус­ту, но не хотят ничего прог­рамми­ровать самос­тоятель­но. Вымога­тель­ство как услу­га пред­став­ляет собой модель сот­рудни­чес­тва меж­ду опе­рато­рами прог­рамм‑шан­тажис­тов и так называ­емы­ми аген­тами.

Ransomware на продажу

На круп­ней­шем меж­дународ­ном мар­кет­плей­се я нашел десяток объ­явле­ний, свя­зан­ных с прог­рамма­ми‑вымога­теля­ми. Вот они.

1. Исходный код KingLocker на Python для Windows за 99 евро

Вен­дор утвер­жда­ет, что пос­ле запус­ка исполня­емо­го фай­ла мал­варь под­клю­чает­ся к панели управле­ния сер­вером, ска­чива­ет ключ, зашиф­ровыва­ет дан­ные на устрой­стве и откры­вает веб‑стра­ницу с тре­бова­нием выкупа в Bitcoin. Какую‑либо информа­цию о слу­чаях зараже­ния KingLocker я не обна­ружил. Пер­вое и единс­твен­ное упо­мина­ние о вирусе на форуме Raid датиру­ется 12 июля 2020 года.

2. Вредонос Sodinokibi/REvil за 2000 долларов

По све­дени­ям Panda Security, Sodinokibi — самая при­быль­ная прог­рамма‑шан­тажист по ито­гам чет­верто­го квар­тала 2019 года. Вре­донос генери­рует уни­каль­ный ID и клю­чи для каж­дого устрой­ства, зашиф­ровыва­ет фай­лы, меня­ет обои на рабочем сто­ле и выводит на экран инс­трук­цию по дешиф­ровке, в которой ука­зан URL-адрес фор­мы для вос­ста­нов­ления дос­тупа к дан­ным.

3. Пакет исходных кодов программ вымогателей за 15 евро

Сос­тоит из:

• Skiddy ScreenLocker — копия тро­яна Exotic;
• NxRansomware — Open Source про­ект, заг­ружен на GitHub в 2016 году;
• HiddenTear — пер­вый тро­ян‑вымога­тель с откры­тым исходным кодом, выложен­ный на GitHub в 2015 году;
• MyLittleRansomware — оче­ред­ной опен­сорс, раз­работан­ный в 2018 году;
• Jigsaw Ransomware — иден­тифици­рован в 2016 году, наз­ван в честь кук­лы Бил­ли из «Пилы»;
• EDA2 Ransomware — соб­ран на базе конс­трук­тора EDA2 и тре­бует фик­сирован­ную пла­ту за рас­шифров­ку — 0,1 BTC;
• CryptoLocker — леген­дарный ста­ричок, сумев­ший зас­тавить аме­рикан­ских копов рас­кошелить­ся на 500 дол­ларов;
• Andr0id L0cker — мобиль­ный вымога­тель, который бло­киру­ет дос­туп к Android;
• Shark Ransomware — был запущен как RaaS в клир­нете в 2016 году.

К сло­ву, Andr0id L0cker — единс­твен­ный мобиль­ный вымога­тель, выс­тавлен­ный на про­дажу на посещен­ных мной теневых рын­ках.