Перейти к содержанию

Криптовалютный след вымогателей


Рекомендуемые сообщения

Чем лучше мы будем понимать modus operandi киберпреступников и масштабы их операций, тем эффективнее можно будет организовать борьбу с ними. В случае с шифровальщиками-вымогателями оценить успешность и доход каждой группировки обычно очень непросто. Вендоры защитных решений, такие как мы, обычно знают только об атаках на своих клиентов, а значит, по сути видят только провалившиеся попытки. Жертвы шифровальщиков, у которых защитных продуктов не было, зачастую предпочитают молчать о факте атак (особенно если решают заплатить злоумышленникам).

Получается, что достоверные данные об успешных атаках брать особенно и негде. Однако на прошедшей в конце 2020 года конференции Remote Chaos Communication Congress (RC3) группа исследователей представила достаточно любопытный метод анализа кампаний киберпреступников от начала и до конца — по криптовалютному следу.

Само по себе исследование проводилось в 2016–2017 году аналитиками из Принстонского университета, Нью-Йоркского университета, Калифорнийского университета в Сан-Диего, а также сотрудниками компаний Google и Chainalysis. Но описанный метод может применяться и по сей день, да и собранные ими данные в любом случае позволяют получить представление о доходах киберпреступников.

Метод исследования

Преступники всегда боятся, что их вычислят по оставленному ими денежному следу. Именно поэтому современная киберпреступность предпочитает пользоваться криптовалютой (чаще всего — биткойном). Такая валюта практически не регулируется, обеспечивает анонимность, при этом она доступна кому угодно, а транзакции, сделанные с ее помощью, нельзя отменить.

Однако у биткойна есть и еще одно свойство — все транзакции в этой криптовалюте по определению публичны. То есть при желании это дает возможность отследить финансовые потоки и составить представление о масштабах внутренней кухни злоумышленников. Именно этим и занялись исследователи.

Некоторые злоумышленники генерируют уникальный адрес BTC-кошелька для каждой жертвы, другие же используют несколько заранее созданных. Поэтому для начала исследователи собрали ряд кошельков, на которые нужно было переводить выкуп. Какие-то адреса были найдены в публичных сообщениях о заражении (многие жертвы публиковали скриншоты записки о выкупе в Сети), какие-то были получены путем запуска шифровальщиков на тестовых машинах).

Далее они проследили, что происходит с криптовалютой после того, как она попадает в этот кошелек (в некоторых случаях для этого им пришлось самостоятельно сделать платежи размером в микроскопические доли биткойна). Дело в том, что биткойн поддерживает операцию «совместной проводки» (co-spending), когда средства с нескольких кошельков переводятся на один. Именно так злоумышленники консолидируют выкупы от разных жертв. Но такая операция означает, что тот, кто ее проводит, имеет ключи от нескольких кошельков. Следовательно, отслеживание таких операций позволяет расширить список жертв. А заодно выяснить адрес центрального кошелька, куда эти средства переводятся.

Изучив движение средств по этим кошелькам в течение двухлетнего периода, исследователи смогли составить представление о доходах злоумышленников и методах, которые они используют для отмывания средств.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Алексей Андронов
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • KL FC Bot
      От KL FC Bot
      Игра Battle City, более известная как танчики, — символ давно ушедшей эпохи. Около 30 лет назад геймеры вставляли картридж в приставку, садились за пузатые телевизоры и пачками уничтожали вражеские танки до тех пор, пока кто-нибудь им не скажет про «кинескоп, который вот-вот должен сесть».
      Сегодня мир совсем другой, а танчики по-прежнему популярны. Дело в том, что современные аналоги предлагают геймерам не только поиграть, но и заработать NFT-токены. Злоумышленники тоже кое-что предлагают: сложную атаку для любителей криптовалютных игр.
      Бэкдор и эксплойт уязвимости нулевого дня в Google Chrome
      Эта история началась в феврале 2024 года, когда наше защитное решение обнаружило проникновение бэкдора Manuscrypt на компьютер пользователя из России. Такой бэкдор нам давно известен, его различные версии используют члены группировки APT Lazarus как минимум с 2013 года. Но что особенного в этой истории, если мы прекрасно знаем основной инструмент и методы работы злоумышленников?
      Дело в том, что эти хакеры обычно нацелены на крупные организации: банки, IT-компании, университеты и даже правительственные организации. Теперь руки Lazarus дотянулись до физических лиц — бэкдор на компьютере частного пользователя! Киберпреступники заманили жертву на сайт игры и получили полный доступ к ее компьютеру. Злоумышленникам удалось это сделать благодаря трем составляющим:
      невероятному желанию жертвы сыграть в любимые танчики в новой оболочке; уязвимости нулевого дня в Google Chrome; наличию эксплойта, позволявшего удаленно выполнить код в процессе Google Chrome. Для тех, кто переживает: компания Google выпустила обновление браузера, заблокировала сайт танчиков и поблагодарила исследователей безопасности «Лаборатории Касперского». Но на всякий случай: наши продукты детектируют и бэкдор Manuscrypt, и эксплойт. Подробности этой истории мы раскрыли в блоге Securelist.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Группа исследователей безопасности обнаружила серьезную уязвимость в веб-портале, принадлежащем южнокорейскому автопроизводителю Kia, которая позволяла удаленно взламывать автомобили и следить за их владельцами. При этом, по сути, для взлома достаточно было всего лишь знать автомобильный номер потенциальной жертвы. Рассказываем подробнее об этой уязвимости.
      Слишком подключенные автомобили
      Не все об этом задумываются, но автомобили за последние пару десятилетий превратили в очень большие компьютеры на колесах. Даже не самые «умные» из них под завязку напичканы всевозможной электроникой и оборудованы целой кучей датчиков — от сонаров и видеокамер до датчиков движения и GPS.
      В последние же годы автомобили — это чаще всего не просто компьютеры, но компьютеры, постоянно подключенные к Интернету, со всеми вытекающими последствиями. Не так давно мы уже писали о том, как современные автомобили собирают массу данных о своих владельцах и передают их автопроизводителям. А также о том, как автоконцерны продают собранные данные другим компаниям, в частности страховщикам.
      Но у этой проблемы есть также и другая сторона. Постоянное подключение автомобиля к Интернету означает, что при наличии уязвимостей — как в самом автомобиле, так и в облачной системе, с которой он коммуницирует — кто-нибудь может ими воспользоваться для взлома и слежки за владельцем авто без ведома автопроизводителя.
      Так называемое «головное устройство» автомобиля — это лишь верхушка айсберга, на самом деле электроники в современных авто гораздо больше
       
      View the full article
    • C0c024
      От C0c024
      Меня атаковал вирус-вымогатель .elons, я хочу узнать больше информации об этом вредоносном ПО, поскольку то, что я видел на других форумах, решения не существует.Adición.txt  FRST.txt
    • grobique
      От grobique
      Здравствуйте! Образовалась такая ситуация - имеется машина, на Win7 x64, подключенная к интернету. Из портов были открыты 80, 3389, и несколько иных для различных программ, типа 8000 для радио, 25565 для игры, и всё такое. В один прекрасный момент раздается звук перезагрузки системы, и в итоге имею диск зашифрованных файлов.
      Что имеется в архиве - один зашифрованный .bat файл, так же - его копия до сего происшествия, а так же один аудиофайл, так же в зашифрованном и нормальном виде. Само собой, "записочка" от авторов.
      Так же на другой машине Windows 10 очень огрызается на все исполняемые файлы, которые я копирую с зараженного компьютера, говорит десятка, что Neshta.A.
      Desktop.zip FRST.txt Addition.txt
×
×
  • Создать...