Zawrzyjmy umowę: rosyjscy hakerzy chcą pójść na kompromis

targować się z rosyjskimi hakerami

Czy to nowa twarz złośliwego oprogramowania? Według ostatniego artykułu Geek, zamiast ukrywać się za losowo generowanym adresem e-mail do przelewów bitcoinowych, twórcy szkodliwego oprogramowania z Troldesh wymagali od ofiar bezpośredniego kontaktu z nimi w celu uzyskania szczegółów płatności. Firma ochroniarska Checkpoint właśnie to zrobiła – i udało się targować grupie z 250 euro do zaledwie 7000 rubli.

To nie pierwszy raz w ostatnich tygodniach twórcy złośliwego oprogramowania pokazali miarę ludzkości; jak zauważył Network World, twórca ransomware szczepu „Locker” zabrał do PasteBin przeprosiny, a następnie automatycznie odszyfrował wszystkie zaszyfrowane pliki za darmo. Być może projektanci szkodliwego oprogramowania są po prostu samotni, a może rynek jest tak przesycony infekcjami, że współczucie jest jedynym sposobem na wyróżnienie się w tłumie. Bez względu na przypadek dobrze wróży ofiarom. Najwyraźniej nawet źli faceci oferują dobre oferty po naciśnięciu.

Porozmawiajmy

Wszystko zaczęło się, gdy Natalia Kolesova z Checkpoint postanowiła uruchomić komputer testowy, a następnie świadomie zezwolić na infekcję ransomware Troldesh. Samo złośliwe oprogramowanie nie jest szczególnie nowe ani interesujące; korzystając z sukcesu programu Cryptolocker i jego potomstwa, Troldesh skanuje zainfekowany system w poszukiwaniu wszelkich plików, które mogą zawierać dane osobowe lub obrazy – np. dokumenty finansowe, zdjęcia i filmy. Te pliki są następnie szyfrowane i pojawia się komunikat ostrzegawczy, że zostałeś zablokowany, wraz ze szczegółami dotyczącymi sposobu dokonywania płatności.

Jednak w przypadku Troldesh ofiarom udostępniono adres Gmaila, aby mógł się skontaktować i poprosić o szczegóły płatności. Udając „Olgę”, Kolesova skontaktowała się z projektantami Troldesh i powiedziano jej, że musi zapłacić 250 euro za odszyfrowanie. Polecono jej również załączyć pojedynczy zaszyfrowany plik, który odszyfrowaliby za darmo, aby udowodnić, że działali w dobrej wierze. Zamiast wypłacać pieniądze, Kolesova załączył plik i odpisał, twierdząc, że nie stać go na okup, ponieważ jej praca płaciła tylko 250 euro miesięcznie. Co zaskakujące, atakujący nie tylko odszyfrowali plik zgodnie z obietnicą, ale odpisali z lepszą ofertą: za zaledwie 12 000 rubli wszystkie pliki zostaną wydane, co stanowi 15 procent zniżki od pierwotnej ceny.

Ale „Olga” poszła o krok dalej. Po spędzeniu czasu odpisała ponownie, prosząc hakerów o uwolnienie swoich plików za darmo. Ich odpowiedź? Jeśli zgodzi się zapłacić 7000 rubli – zaledwie 50 procent pierwotnego zapotrzebowania, wszystkie jej pliki zostaną odszyfrowane. Oczywiście Checkpoint nie wziął ich na hojną ofertę i zamiast tego opublikował wyniki: nagle hakerzy są gotowi do czynienia.

Zmieniający się rynek

Dlaczego więc przejście do dyskusji na temat całkowitego zniszczenia? W dużej mierze dzieje się tak, ponieważ rynek złośliwego oprogramowania i oprogramowania ransomware się zmienia. Użytkownicy znają większość rodzajów oprogramowania ransomware i nie przeraża ich w taki sam sposób, jak pięć lat temu – wielu również surfuje anonimowo, korzysta z bezpiecznych usług VPN i jest bardzo bystry w kwestii rodzaju otwieranych załączników i pobieranych plików. Innymi słowy, po prostu nie ma tyle strachu. Doprowadziło to do opracowania nowych wektorów zagrożeń; na przykład w marcu BBC donosiło o Teslacrypt, który specjalnie celował w gry wideo, szyfrując zapisane gry i inne dane graczy, dopóki nie zapłacili okupu.

Istnieje również oprogramowanie ransomware Tox, które umożliwia potencjalnym hakerom łatwe utworzenie „spersonalizowanej platformy ransomware”. Dwa tygodnie temu złośliwe oprogramowanie przedostało się do sieci, a tydzień później platforma „złośliwego oprogramowania jako usługa” „eksplodowała”, według jej twórcy, który twierdzi, że nie jest geniuszem czarnego kapeluszu, ale tylko nastoletnim studentem – a teraz chce sprzedać platformę, ponieważ „sytuacja staje się dla mnie zbyt gorąca”. Jak wspomniano powyżej, twórca Locker obrał tę samą ścieżkę: stwórz coś zaraźliwego i popularnego, a następnie szybko się wykreśl.

Więc gdzie to pozostawia oprogramowanie ransomware? W stanie płynnym. Nowe odmiany – i narzędzia do usuwania – są opracowywane z zawrotną prędkością. Rezultatem jest specjalizacja kodu i gotowość hakerów do czynienia, ponieważ ofiary po prostu nie przewracają się i nie płacą dłużej. Jeśli Troldesh jest jakąkolwiek wskazówką, przyszłość oprogramowania ransomware może bardziej przypominać targowanie się niż branie zakładników.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me