Перейти к содержанию

Криптовалютный след вымогателей

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Чем лучше мы будем понимать modus operandi киберпреступников и масштабы их операций, тем эффективнее можно будет организовать борьбу с ними. В случае с шифровальщиками-вымогателями оценить успешность и доход каждой группировки обычно очень непросто. Вендоры защитных решений, такие как мы, обычно знают только об атаках на своих клиентов, а значит, по сути видят только провалившиеся попытки. Жертвы шифровальщиков, у которых защитных продуктов не было, зачастую предпочитают молчать о факте атак (особенно если решают заплатить злоумышленникам).

Получается, что достоверные данные об успешных атаках брать особенно и негде. Однако на прошедшей в конце 2020 года конференции Remote Chaos Communication Congress (RC3) группа исследователей представила достаточно любопытный метод анализа кампаний киберпреступников от начала и до конца — по криптовалютному следу.

Само по себе исследование проводилось в 2016–2017 году аналитиками из Принстонского университета, Нью-Йоркского университета, Калифорнийского университета в Сан-Диего, а также сотрудниками компаний Google и Chainalysis. Но описанный метод может применяться и по сей день, да и собранные ими данные в любом случае позволяют получить представление о доходах киберпреступников.

Метод исследования

Преступники всегда боятся, что их вычислят по оставленному ими денежному следу. Именно поэтому современная киберпреступность предпочитает пользоваться криптовалютой (чаще всего — биткойном). Такая валюта практически не регулируется, обеспечивает анонимность, при этом она доступна кому угодно, а транзакции, сделанные с ее помощью, нельзя отменить.

Однако у биткойна есть и еще одно свойство — все транзакции в этой криптовалюте по определению публичны. То есть при желании это дает возможность отследить финансовые потоки и составить представление о масштабах внутренней кухни злоумышленников. Именно этим и занялись исследователи.

Некоторые злоумышленники генерируют уникальный адрес BTC-кошелька для каждой жертвы, другие же используют несколько заранее созданных. Поэтому для начала исследователи собрали ряд кошельков, на которые нужно было переводить выкуп. Какие-то адреса были найдены в публичных сообщениях о заражении (многие жертвы публиковали скриншоты записки о выкупе в Сети), какие-то были получены путем запуска шифровальщиков на тестовых машинах).

Далее они проследили, что происходит с криптовалютой после того, как она попадает в этот кошелек (в некоторых случаях для этого им пришлось самостоятельно сделать платежи размером в микроскопические доли биткойна). Дело в том, что биткойн поддерживает операцию «совместной проводки» (co-spending), когда средства с нескольких кошельков переводятся на один. Именно так злоумышленники консолидируют выкупы от разных жертв. Но такая операция означает, что тот, кто ее проводит, имеет ключи от нескольких кошельков. Следовательно, отслеживание таких операций позволяет расширить список жертв. А заодно выяснить адрес центрального кошелька, куда эти средства переводятся.

Изучив движение средств по этим кошелькам в течение двухлетнего периода, исследователи смогли составить представление о доходах злоумышленников и методах, которые они используют для отмывания средств.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • norma.ekb
      Шифровальщик-вымогатель .FONL
      Автор norma.ekb
      Добрый день.
      Открыли архив, полученный по почте и после этого все файлы на ПК  изменились на тип FONL. Прошу помочь с расшифровкой.
      Файл шифровальщик сохранен (из полученного архива). 
      Файлы для примера и сообщение вымогателей .rar FRST.rar
    • Antchernov
      Шифровальщик-вымогатель C77L ZerSrv@mail2tor.co
      Автор Antchernov
      Здравствуйте. Словили шифровальщик через RDP, файл шифровальщика удалось найти на рабочем столе учетки Администратора. Зашифровать успел не все, но важным документам и базам 1С досталось. Осложняется все тем, что админ приходящий и он в текущей ситуации стал "очень занят". Прошу помочь с лечением системы и по возможности с расшифровкой, т.к. неизвестно есть ли бэкапы. Систему не лечили никак, логи FRST, зашифрованные фалы и записку прилагаю. Есть нешифрованные версии некоторых файлов, если понадобятся. 
      Addition.txt FRST.txt Zersrv.zip
    • KL FC Bot
      Как видеокамера может помочь вымогателям | Блог Касперского
      Автор KL FC Bot
      Поучительный инцидент с атакой ransomware-группировки Akira наверняка на несколько лет станет любимым примером ИБ-специалистов. Злоумышленники зашифровали компьютеры организации, воспользовавшись ее видеокамерой. Хотя звучит это очень странно, в развитии событий есть логика, которую легко применить к другой организации и другим устройствам в ее инфраструктуре.
      Анатомия атаки
      Злоумышленники проникли в сеть, проэксплуатировав уязвимость в публично доступном приложении и получив возможность выполнять команды на зараженном хосте. Они воспользовались этим, чтобы запустить популярное приложение дистанционного доступа AnyDesk, а затем инициировали с этого компьютера RDP-сессию для доступа к файл-серверу организации. На сервере они попытались запустить свой шифровальщик, но EDR-система, установленная в компании, опознала вредоносное ПО и поместила его в карантин. Увы, это не остановило атакующих.
      Не имея возможности запустить свой шифровальщик на серверах и обычных компьютерах, которые находятся под защитой EDR, атакующие запустили сканирование внутренней сети и обнаружили в ней сетевую видеокамеру. В отчете команды по расследованию инцидента это устройство постоянно называют веб-камерой (webcam), но мы все же полагаем, что речь не о камере ноутбука или смартфона, а о независимом сетевом устройстве, применяемом для видеонаблюдения.
      Камера стала прекрасной мишенью для атакующих по нескольким причинам:
      устройство давно не обновлялось, его прошивка содержала уязвимости, позволяющие дистанционно скомпрометировать камеру и получить на ней права на запуск оболочки (remote shell); камера работает под управлением облегченной сборки Linux, на которой можно запускать обычные исполнимые файлы этой ОС, например Linux-шифровальщик, имеющийся в арсенале Akira; это специализированное устройство не имело (и, скорее всего, не могло иметь) ни агента EDR, ни других защитных средств, которые могли бы определить вредоносную активность. Злоумышленники смогли установить свое вредоносное ПО на эту камеру и зашифровать серверы организации прямо с нее.
       
      View the full article
    • Rome0
      Шифровальщик-вымогатель .kwx8
      Автор Rome0
      15.02 ночью. Судя по всему RDP. На комп был проброшен нестандартный порт. Комп для удаленного подключения был включен круглосуточно. Все бы ничего, но остались незавершенные сессии с сетевым хранилищем NAS и там тоже все зашифровало... Все файлы с расширением .kwx8
      Без Вашей помощи не обойтись явно.
      Desktop.zip
    • Always_Young
      Шифровальщик вымогатель. Расширение .y8ItHTbGJ
      Автор Always_Young
      Здравствуйте! На ПК пришло письмо с файлом с раширением .cab. Файл находится в облаке. Скрин проверки с VirusTotal прилагается. После этого все документы JPEG, JPG,PDF,XLSX,DOCX оказались зашифрованы. Доступ на ПК осуществлялся удаленно, через AnyDesk. В сети три ПК и один ноутбук по Wi-Fi. Заражен оказался один. Есть ли возможность расшифровать? 

      Addition.txt FRST.txt y8ItHTbGJ.README.txt Файлы шифр.zip
×
×
  • Создать...