Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
За два месяца существования шифровальщик принес своим авторам 600 тысяч долларов.
В начале месяца румынская полиция и Европол арестовали командные серверы, управляющие кампанией набирающего популярность вымогателя GandCrab. Но авторы шифровальщика быстро исправили вредоносную программу и снова взялись за старое.
Согласно недавнему исследованию от Check Point, злоумышленники заразили GandCrab более 50 000 пользователей, преимущественно из США, Великобритании и Скандинавии. За два месяца вымогательства преступникам удалось выманить у своих жертв 600 000 долларов США. Напомним, это первый шифровальщик, который требует выкупа в криптовалюте DASH.
«GandCrab — самая известная программа-вымогатель в 2018 году. По нашим данным, ее авторам удалось охватить огромное количество устройств», — отметил руководитель по исследованию безопасности компании Check Point Янив Балмас (Yaniv Balmas).
Он также опроверг распространенное мнение о том, что злоумышленники постепенно отказываются от шифровальщиков в пользу добычи криптовалюты. Как считает исследователь, вымогательство остается одним из самых легких способов нелегального заработка, и количество жертв шифровальщиков вряд ли снизится в ближайшее время.
Изучив первые и более поздние версии GandCrab, специалисты Check Point пришли к выводу, что для того, чтобы неизменно получать прибыль и оставаться на шаг впереди экспертов по кибербезопасности, авторы зловреда используют совершенно новый подход к разработке вредоносных программ.
«Сравнивая две версии GandCrab, мы можем предположить, как именно развивается эта программа-вымогатель. Сперва злоумышленники запустили максимально непроработанный шифровальщик, а потом постепенно его совершенствовали. Новейшая версия зловреда вышла на прошлой неделе, — пишут авторы исследования, — и можно сделать вывод, что в 2018 году даже вирусописатели проявляют гибкость в разработке».
Как заметил руководитель команды по исследованию вредоносных программ в Check Point Майкл Каджилоти (Michael Kajiloti), ранние версии GandCrab кишели недочетами, но злоумышленники быстро устраняли все проблемы. Преступники тщательно изучали код и в режиме реального времени исправляли ошибки из отчетов.
Как и в случае с известным вымогателем Cerber, авторы GandCrab сдают программу в аренду, не принимая непосредственного участия в атаках. Такой подход позволяет уделять больше внимания написанию кода и не отвлекаться на вымогательство. Как считают эксперты Check Point, за GandCrab могут скрываться хакеры из России: в инструкциях злоумышленники запрещают пользователям атаковать системы с русской раскладкой клавиатуры.
В начале марта компания BitDefender выпустила бесплатный декриптор для шифровальщика. Однако разработчики зловреда оперативно издали новую версию, для которой это решение не работало.
«GandCrab — «сырой» вымогатель, который тем не менее отлично справляется со своими задачами. Например, до недавнего времени программа непреднамеренно оставляла локальные копии секретного ключа расшифровки RSA на компьютере жертвы. Это как если бы кто-то закрыл вашу квартиру, но оставил дубликат ключа под ковриком у двери», — пишут авторы отчета Check Point.
Обнаружили исследователи и еще одну недоработку: ключ RSA можно увидеть и в интернет-трафике. Для его шифровки используется один и тот же пароль, встроенный во вредоносный код. Однако, по мнению экспертов, скоро авторы GandCrab исправят и эту ошибку.
Как отметил Каджилоти, находить подобные неисправности становится все сложнее: злоумышленники постоянно совершенствуют шифровальщик и обходят антивирусы, которые применяют сигнатурный анализ. Для защиты от GandCrab нужен динамический анализ и эвристическое обнаружение. В ближайшее время, по мнению эксперта, GandCrab продолжит приносить своим авторам деньги за счет гибких методов разработки, распространенности и широкой сети партнеров.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |