Проект Ransomwhere, созданный студентом Стэнфордского университета и ИБ-исследователем из Krebs Stamos Group Джеком Кейблом, создает бесплатную и открытую базу данных о платежах, которые были переведены различным вымогательским хак-группам.
Эта БД, лишенная какой-либо личной информации, будет доступна ИБ-специалистам и сотрудникам правоохранительных органов для бесплатной загрузки. К сожалению, такая база может быть легко испорчена поддельными материалами, но чтобы противостоять этому, Кейбл планирует изучать все представленные материалы, а в будущем планирует добавить систему голосования для отдельных лиц, чтобы можно было помечать отчеты как поддельные.
В целом сайт очень прост: он позволяет жертвам атак шифровальщиков и специалистам по безопасности передать Ransomwhere копии своих записок с требованием выкупа, а также сообщить о размере выкупа и биткоин-адресе, по которому жертвы перевели платеж. Затем этот адрес будет проиндексирован в общедоступной БД.
Основная идея заключается в создании централизованной системы, которая отслеживает платежи, отправленные хакерами, что позволит точнее оценить масштабы их прибылей и операций, о которых известно очень мало. Создатель проекта надеется, что анонимный обмен данными о платежах через сторонний сервис, такой как Ransomwhere, устранит некоторые барьеры в с ИБ-ообществе, такие как соглашения о неразглашении и деловую конкуренцию.
Пока для расширения своей базы Кейбл опирается лишь на публично доступные материалы, но исследователь сообщил изданию The Record, что он уже изучает «возможности партнерства с аналитическими компаниями в области ИБ и блокчейна для интеграции данных, которые они, возможно, имеют о пострадавших».
Журналисты отмечают, что запуск проекта Ransomwhere очень похож на запуск проекта ID-Ransomware, созданного Майклом Гиллеспи в начале 2016 года. Изначально это был сайт, на который жертвы хакеров могли загрузить полученные записки с требованием выкупа, а сайт сообщал им, какое семейство малвари атаковало их системы, и где они могут получить помощь в восстановлении файлов. В итоге ID-Ransomware стал незаменимым инструментом для многих специалистов по реагированию на инциденты.