Проект Ransomwhere, созданный студентом Стэнфордского университета и ИБ-исследователем из Krebs Stamos Group Джеком Кейблом, создает бесплатную и открытую базу данных о платежах, которые были переведены различным вымогательским хак-группам.

Эта БД, лишенная какой-либо личной информации, будет доступна  ИБ-специалистам и сотрудникам правоохранительных органов для бесплатной загрузки. К сожалению, такая база может быть легко испорчена поддельными материалами, но чтобы противостоять этому, Кейбл планирует изучать все представленные материалы, а в будущем планирует добавить систему голосования для отдельных лиц, чтобы можно было помечать отчеты как поддельные.

В целом сайт очень прост: он позволяет жертвам атак шифровальщиков и специалистам по безопасности передать Ransomwhere копии своих записок с требованием выкупа, а также сообщить о размере выкупа и биткоин-адресе, по которому жертвы перевели платеж. Затем этот адрес будет проиндексирован в общедоступной БД.

Основная идея заключается в создании централизованной системы, которая отслеживает платежи, отправленные хакерами, что позволит точнее оценить масштабы их прибылей и операций, о которых известно очень мало. Создатель проекта надеется, что анонимный обмен данными о платежах через сторонний сервис, такой как Ransomwhere, устранит некоторые барьеры в с ИБ-ообществе, такие как соглашения о неразглашении и деловую конкуренцию.

Пока для расширения своей базы Кейбл опирается лишь на публично доступные материалы, но исследователь сообщил изданию The Record, что он уже изучает «возможности партнерства с аналитическими компаниями в области ИБ и блокчейна для интеграции данных, которые они, возможно, имеют о пострадавших».

Журналисты отмечают, что запуск проекта Ransomwhere очень похож на запуск проекта ID-Ransomware, созданного Майклом Гиллеспи в начале 2016 года. Изначально это был сайт, на который жертвы хакеров могли загрузить полученные записки с требованием выкупа, а сайт сообщал им, какое семейство малвари атаковало их системы, и где они могут получить помощь в восстановлении файлов. В итоге ID-Ransomware стал незаменимым инструментом для многих специалистов по реагированию на инциденты.

2 комментария

  1. Аватар

    toxicshadow

    10.07.2021 в 12:19

    Шифровальщики на слуху уже лет 5, благодаря WannaCry и Petya. Удивляет, что до сих пор не разработано метододов предотвращения ущерба от их атак, деньги то приличные вымогают. Складывается впечатление, что во многих крупных компаниях не знают о том, что такое бэкапы и обновления безопасности, хотя …. разгильдяйство никто не отменял. Лет 10-12 назад на крупном российском предприятии(~3000 сотрудников), conficker гулял по сети, как у себя дома. Мы даже опыт ставили: ставишь чистую винду и убеждаешься, что там нет вирусов, втыкаешь в сеть — и вуаля, через 10 минут там conficker! ИЧСХ на работу предприятия это особо не влияло.

    • Аватар

      B4lTaZAR-QiTh1.0

      10.07.2021 в 13:03

      А не влияло потому, что нужно отключать всю сеть и ручками вычленять всякие угрозы и обновлять политики фаервола, если такой имеется. А это простой.. а простой — это бабки. Вот раз оно не «влияет» на работу, то и пофиг. И пофиг на то, что чем дольше оно в системе, тем сильнее может нанести удар. 🤷‍

Оставить мнение