Как вирусы-вымогатели используют криптовалюту

Вирусы-вымогатели составляют существенную долю криминального сектора преступлений, совершаемых с использованием криптовалют, наряду с хакерскими атаками, скам-проектами и даркмаркетами.

По оценкам ряда аналитических компаний в 2022 году общий ущерб от деятельности вирусов-вымогателей составил $457 млн, при этом в 2023 году только за 1 полугодие ущерб от вымогателей составил более $500 млн.

Вымогатели направлены в первую очередь на крупный и средний бизнес, а также правительственные структуры, однако его жертвами становятся и частные лица. Из последних известных случаев атак вымогателей: взлом сети Air Canada в сентябре 2023 года, взлом Simpson Manufacturing и сайта суда Флориды в октябре 2023 года.

Зашифровав или заблокировав функционирование компьютерной сети компании, вирус тем самым вызывает сбои в бизнес-операциях и приводит к огромным потерям, в связи с чем компании и лица, важная информация которых оказалась зашифрованной, платят выкуп и тем самым поощряют дальнейшую активность таких мошенников.

С октября 2023 года под эгидой США была создана организация International Counter Ransomware Initiative, в рамках которой объединилось 40 стран, поддерживающих тезис, что нельзя платить выкуп мошенникам и необходимо предпринимать совместные меры по борьбе с такими криминальными проявлениями.

Понятие и классификация вымогателей

Для начала определимся с терминологией. Итак, под вирусами-вымогателями понимают разновидность вредоносных программ, которые ограничивают путем блокирования или шифрования доступ пользователей к своим данным на компьютерах, устройствах хранения NAS или даже на мобильных телефонах.

Такие вирусы с использованием различных уязвимостей внедряются в операционную систему компьютера, блокируют или шифруют данные жертвы и требуют выкуп за восстановление доступа к файлам.

Как и любая вредоносная программа такие вирусы распространяются с помощью вполне известных способов:

• письма электронной почты, подозрительные ссылки на сайтах, в приложениях или социальных сетях;

• сменные носители информации (флешки, жесткие диски);

• уязвимости программного обеспечения и протокола удалённого рабочего стола (например, уязвимости, связанные с облачными хранилищами), а также программное обеспечение устройств хранения NAS и мобильных устройств.

Следует сказать, что большую помощь в распространении вирусов-вымогателей оказывают хакеры, которые в результате атак добывают информацию о компаниях и физических лицах. Фактически речь идет о взаимовыгодном сотрудничестве: хакеры продают вымогателям базы данных лиц и компаний, которые последние используют для внедрения вируса, в том числе через рассылку писем с фишинговыми ссылками.

Существует и другая преступная кооперация в этой сфере. Ряд хакерских группировок, например, Battle Wolf, Twelfth Wolf и Shadow Wolf, используют для атак на российские организации утекшие в сеть программы-вымогатели Babuk, Conti и LockBit. Иногда такие программы немного дорабатываются, чтобы избежать быстрой дешифровки уже известных вымогателей. По принципу действия такие вирусы-вымогатели условно разделяют на шифровальщиков и блокировщиков.

Шифровальщики (крипторы)

Как только вирус-шифровальщик заражает компьютер, он начинает шифровать все файлы на жестком диске компьютера, устройства хранения либо мобильного телефона, включая фотографии, документы и другие ценные данные. После этого, пользователь получает сообщение с требованием оплатить определенную сумму в криптовалюте за расшифровку данных. Ярким примером такого шифровальщика является вирус Deadbolt, поражавший устройства хранения NAS, более подробно о нем можно почитать в нашем материале.

Следует отметить, что расшифровать код вируса удается далеко не сразу и новые программы вымогатели активно это используют для того, чтобы от выкупа зависело, вернет человек свои данные или нет.

Блокировщики

Такие вирусы, проникнув в устройство, блокируют к нему доступ. То есть воспользоваться не получится не просто отдельными файлами, а устройством целиком. Они тоже требуют выкуп, но обычно не такой большой, как шифровальщики.

Хакеры могут угрожать удалить файлы жертвы, если им не заплатят выкуп в установленные сроки. Даже если пользователь выполнит требования злоумышленника, нет никакой гарантии, что хакер предоставит ключ дешифрования или разблокирует устройство.

Отдельной категорией вымогателей выступают хакеры, осуществившие взлом сервиса либо устройства, похитившие информацию пользователя или организации и вымогающие выкуп за нераспространение похищенных данных в публичном пространстве. Примерами такой деятельности является взлом Минстроя России, о котором мы уже писали в одной из наших статей.

Разновидностью такого типа вымогательства является ситуация, когда фактически никакого взлома не было, однако злоумышленникам удается с помощью отрисованных скриншотов убедить жертву, что действительно утечка произошла и его данные под угрозой распространения.

Где здесь криптовалюта?

Практически во всех перечисленных случаях выкуп за дешифровку, разблокировку и нераспространение украденных данных злоумышленники требуют оплатить именно в криптовалюте. При этом в ряде случаев создатели вируса предлагают заплатить небольшой выкуп пользователю за расшифровку его данных и относительно большой (например, 50 BTC) компании – разработчику программного обеспечения, которое подверглось взлому, для получения универсального ключа-дешифровщика.

Кроме того, существуют некоторые вирусы-шифровальщики, которые используют устройство жертвы для непрерывного и незаметного майнинга криптовалюты. Эти вирусы предназначены не для кражи данных, а для использования вычислительных мощностей жертвы для майнинга криптовалюты. К таким вирусам, например, относятся Prometei, CryptoLocker и Coinhive.

С помощью функционала платформы по безопасности цифровых активов ШАРД можно изучить пути движения криптовалютных средств, выводимых вирусами-вымогателями, и использовать эту информацию для установления используемых ими сервисов, объемах выводимых средств, а также установить их пособников, обеспечивающих «отмывание» похищенных средств.

Рекомендации

Чтобы не стать жертвой вирусов-вымогателей, достаточно следовать нескольким несложным рекомендациям:

• Для начала установите надежный антивирус на Ваш компьютер;

• Регулярно устанавливайте обновления операционной системы, используемых браузеров, антивируса и других программных обеспечений.

• Делайте резервные копии всех важных для Вас файлов. Желательно, чтобы резервная копия хранилась сразу несколькими способами, например, в облаке и на сменном носителе.

• Настройте спам-фильтр или антифишинговый код, чтобы не попасться на фальшивые письма онлайн-магазинов, банков или бирж.

Обо всех случаях, связанных с конкретными адресами криптовалюты и рассматриваемыми рисками, Вы можете сообщить на сайте в разделе «Сообщить о подозрительном адресе», чтобы уберечь других пользователей от рисков взаимодействия с такими адресами и их владельцами.