Источник: Naked Security — Sophos
Компаний, работающих в сфере информационной безопасности сейчас много. Технологии совершенствуются, а значит, злоумышленники получают все больше инструментов для работы. Им противостоят специалисты по информационной безопасности. Правда, не все из них действуют одинакового профессионально.
К примеру, недавно в сети появилась информация о компании, которая позиционирует себя, как последний шанс для жертв программ-криптовымогателей. Эта компания заявляет, что она в состоянии расшифровать пострадавшие файлы, спасая, таким образом, бизнес и репутацию жертвы.
Но в этом случае все не так однозначно. Как оказалось, компания, которая называется Dr. Shifro, не расшифровывает файлы. Вместо этого она платит злоумышленникам, а заказчикам предоставляет расшифрованные файлы, утверждая, что ее специалисты все смогли расшифровать.
Но это не совсем правда — дело в том, что Dr. Shifro просто берет с заказчиков в 2-3 раза больше денег, чем просят злоумышленники, и работает с последними. Как только файлы пострадавшей стороны расшифрованы, Dr. Shifro заявляет, что это ее заслуга.
В одном из случаев компания запросила $2,5 тысячи за услугу расшифровки файлов, заблокированных ransomware. Оказалось, что сами злоумышленники просят за это же $1500. Таким образом, компания взяла за услуги посредничества $1000, заплатив остальное киберпреступникам.
Часто владельцы пострадавшего бизнеса готовы заплатить и больше решение проблемы с зашифрованными файлами. Компании зачастую не хотят связываться с киберпреступниками, поэтому готовы много платить тем, кто способен решить проблему.
Но, как оказалось, компания Dr. Shifro и не думает заниматься самостоятельной расшифровкой. Она предпочитает договариваться со злоумышленниками, получая за это неплохую прибыль со стороны киберпреступников.
По расчетам, компания за время своей деятельности получила около $300 000 прибыли. В среднем решение одного инцидента обходится клиентам организации в $3000 (в биткоин-эквиваленте). Но точный расчет провести нельзя, поскольку неясно, все ли клиенты получают одинаковый прайс на услуги.
Общая рекомендация специалистов по информационной безопасности — не платить киберпреступникам, которые распространяют ПО-криптовымогатель. Справедливо считается, что если выплачивать злоумышленникам «выкуп», то они будут работать еще активнее. Поэтому многие жертвы вирусов-криптовымогателей обращаются к сторонним компаниям, обещающим расшифровать файлы. В этом случае некоторые жертвы готовы платить больше «белым» хакерам, чем выплачивать выкуп злоумышленникам.
Тем не менее, шанс на расшифровку файлов, которые закодированы при помощи серьезной технологии, невелик. Так что можно предположить, что Dr. Shifro далеко не единственная компания, которая просто договаривается с шантажистами.
Ну а последние и не собираются прекращать свою деятельность. Недавно новый вид криптовымогателя поразил более 100 тыс. компьютеров в Китае. Правда, мошенники требовали за ключ расшифровки небольшую сумму — всего $16. Обычно это сотни, если не тысячи долларов США. Насколько можно понять, новая разновидность ransomware рассчитана исключительно на китайских пользователей — в других странах случаев заражения этим вирусом пока нет.
Распространяется зловред в качестве «приятного» дополнения к темам для местных форумов и мессенджеров. Но чаще всего пользователи из Китая заражаются этим вирусом при установке ПО «Account Operation V3.1», это приложение, которое позволяет управлять одновременно несколькими аккаунтами в QQ. Возможно, что вирус скрывается в модуле EasyLanguage. Исследователи говорят, что вирус не только шифрует файлы, но и ворует доступы пользователей к различным социальным сетям и мессенджерам, а также цифровым кошелькам и хостингу.
Стоит отметить, что наибольшее распространение криптовымогатели получили в Китае. В других странах активность этого типа вирусов сошла на нет. По мнению специалистов, в частности, из компании Velvet Threat, ransomware разных видов заразило в Китае около 2 млн компьютеров.
Комментарии (61)
saipr
08.12.2018 16:44+3Но, как оказалось, компания Dr. Shifro и не думает заниматься самостоятельной расшифровкой. Она предпочитает договариваться со злоумышленниками, получая за это неплохую прибыль со стороны киберпреступников.
Как это похоже на выбивание банковской задолжности (порой мифической) через коллекторов.
DGN
09.12.2018 23:45Ну в общем да, есть такая тема, что через них будто бы можно закрыть свой долг за 30-50%, так как банки продают плохие долги коллекторам за 10-15%. Но есть и другие точки зрения, в частности, что выплата коллекторам вообще ничего не меняет, в итоге оказывается что компания А не имела всех прав на долги, вот компания Б наоборот, все права имеет и за то что должник выплатил компании А не отвечает.
vilgeforce
08.12.2018 16:53+1Учитывая, что число тех, кто файлы расшифровывает без обращения к злоумышленникам, исчисляется единицами — не удивительно.
DGN
09.12.2018 23:50А такие вообще есть? Из практики «компьютерной скорой помощи», либо касперский или веб присылают ключик по подписке, либо злоумышленника удается уторговать. Расшифровка (если она возможна, а часто шифровальщик вовсе никуда не передает ключ) дело чудовищно ресурсоемкое, если вы не АНБ то и браться смысла нет.
teecat
08.12.2018 18:48Открытие. Эта компания год-не год, но давно точно постоянно в рекламе mail.ru и иных ресурсов.
А если в поиске поискать расшифровку с гарантией, то сходу три подозрительных предложения. «не присылайте нам свои зашифрованные файлы, у нас иной метод расшифровки»
firedragon
08.12.2018 19:18-9Преступники обычно уничтожают все безвозвратно, а заявка на расшифровку это откровенное вранье. Любой алгоритм по шифрации подразумевает, механизм по расшифровке и его можно отследить.
SergeyMax
08.12.2018 19:42+3Любой алгоритм по шифрации подразумевает, механизм по расшифровке и его можно отследить.
Зачем его отслеживать, алгоритм называется RSA.geisha
09.12.2018 01:19У RSA пропускная способность килобайт 10 в секунду, если что. Им шифруют ключи, а не файлы.
DGN
09.12.2018 23:54Это если ключ передан на сервер и злоумышленник сохранил к нему доступ. Если же с этой частью возникла проблема (а некоторые «продвинутые» юзеры отключают странно работающий компьютер от сети), то проще расшифровывать биткоин кошельки. Иногда реверс-инженеринг зловреда позволяет облегчить подбор ключа, тогда другое дело.
SergeyMax
10.12.2018 07:42Если ключ НЕ передан на сервер — тем лучше, значит, ничего не зашифровано. Не так ли?
DGN
10.12.2018 11:11+1Это почему? Зашифровка сама по себе идет, ну нет соединения стучимся до посинения, вырубили питание — ключ пропал. Кстати, совет — если видите шифровку в самом разгаре, загоняйте в гибернацию, ключ лежит в памяти.
Karpion
09.12.2018 00:56+1Отследить механизм (т.е. алгоритм) шифрования — вообще не проблема. Но это не решает задачу — для расшифровки нужно знать ещё и пароль. А пароль этот — хранится у авторов зловредной программы; и он такой большой, что подобрать его за разумное время просто нереально.
rub_ak
08.12.2018 20:01+1
Crevice
09.12.2018 02:48Что делает такая компания, если злоумышленники ничего не расшифровывают, а только собирают деньги?
VolCh
09.12.2018 04:48Видимо работает только с теми авторами, кто реально расшифровывает. Это тоже объясняет высокую наценку: деньги клиенту возвращать придётся, скорее всего.
DGN
09.12.2018 23:58Ну логично предложить заскринить пару файлов, причем на свой вкус, а не те что предложат они. Далее рискуют наверное. Или как то поэтапно работают. Ну и если злоумышленники оказались совсем злоумышленниками, то клиенту говорят увы мол и ах, фокус не удался.
Sergey-S-Kovalev
09.12.2018 07:06+1В прошлом году сталкивался с директором небольшой конторки у которой NAS шифранули, вместе с файловой 1Ской. Говорит: «Есть контора, которая может дешифровать файлы, в инете нашел». На мое сомнение, что такое возможно в столь сжатые сроки, сказал что файл пробный даже расшифровали. Просят 25 килорублей.
Я написал злоумышленнику, он ответил что битков хочет, примерно в эквиваленте 15к рублей.
Тогда и стала понятна схема работы. На тот момент, необычно, на мой взгляд.
Результат не известен, но видимо директору, не связанному с ИТ технологиями и без своего ИТшника оказалось проще воспользоваться услугами конторы по дешифровке даже зная разницу в ценнике.
С другой стороны это идеальный метод обналичивания намайненной крипты. У тебя куча битков, и организуя такую контору по дешифровке, ты совершенно легально можешь вывести битки в фиат без комиссий, оформив это услугами. А дельта разницы — это то что ты отдаешь налогами государству.shalm
09.12.2018 08:48На фоне тьмы контор, которые пилят бюджетные деньги, этот бизнес не кажется даже аморальным
Sergey-S-Kovalev
09.12.2018 12:18Ну можно было бы более правдиво подойти: не говорить что сами расшифровывают, а лишь выступают опытным посредником. За весь гемморой с криптокошельками, переводами и взаимодействие с злоумышленником взять 10-15 килорублей за услуги. И даже здесь можно заработать проявив талант переговорщика и попросив скидку. Ценник вполне можно уронить и получить свой бонус. Плюс продать аудит инфобезопасности или подарить пдфку с основами того чего делать не нужно.
Доказательство возможности скидки из личного опыта:
Скидка!
VolCh
09.12.2018 13:15Более правдиво подойти сильно увеличивает риски привлечения к ответственности за пособничество преступникам.
elve
09.12.2018 11:17+1Так вот как это работает =). А я голову ломал как же они в сжатые сроки подбирают rsa-ключи.
lagudal
09.12.2018 13:48я что то не совсем понимаю — честно, без сарказма — ну вот случилось так, что поймал ты шифровальщика, злоумышленник тебе говорит, плати 1000 или твои данные умрут.
Ок, ты обращаешься к фирме, которая берется расшифровать. Там говорят, без проблем, расшифруем, это стоит 2500. И ты платишь им 2500 вместо того чтобы заплатить 1000…
Ну ладно, как бы из принципа не платить злоумышленникам?
Недавно был подобный случай у товарища, не в России, в Америке. Поймали на фирме такого шифровальщика, те запросили изначально 10 000. Начали с ними торговаться, параллельно обратившись в фирму по расшифровке. Последние через день-два сказали что увы, помочь ничем не могут, алгоритм им неизвестен.
Поскольку данные были критичны, заплатили, конечно не 10, кажется что то 2 или 3.
Наверно это не очень правильно, но как мне сказали, выхода не было. И да, если бы фирма сказала — мы расшифруем, но это будет не 3, а 5 или 6…VolCh
09.12.2018 13:55Не понятно из комментария, что вам не понятно. Зачем переплачивать фирме в таких случаях?
lagudal
09.12.2018 13:58именно — ну если бы фирма предлагала расшифровать за меньшие деньги, ну пусть за такие же, но не в 1,5-2 раза больше же…
VolCh
09.12.2018 14:07+1Навскидку:
- фирма, скорее всего, даёт гарантии возврата денег, если расшифровка не удалась или вообще оплату по факту берёт
- фирме-жертве гораздо проще заплатить другой фирме через банк по договору (или хотя бы инвойсу) о восстановлении данных и отнести эти деньги на расходы, чем связываться с сомнительными методами оплаты, которые так любят злоумышленники, и естественно без документов, позволяющих отнести деньги на расходы — и хорошо если отмывание или ещё что не пришьют.
lagudal
09.12.2018 15:24Все правильно и логично вы пишите, одно но:
жертва согласна платить, не важно кому, вымогателю или посреднику-фирме, только если данные критичны, причем жизненно для жертвы. Если данные не критичны, или их восстановление потребует меньших ресурсов, платить никто не будет.
Поэтому я не знаю, как поведет себя даже самая принципиальная жертва, если, с одной стороны, принятие решения ограничено по времени, и с другой стороны, фирма, предлагающая услуги, не гарантирует результата но гаранирует возрат денег в случае неудачи. Ну т.е. время может быть упущено, данные будут утеряны навсегда, и деньги, возвращенные фирмой, будут особо не важны уже…
Я не за то, что мол, давайте все платить вымогателям, ни в коем случае.
Мой девиз — много бекапов, хороших и разных! )
bro-dev0
09.12.2018 15:22Ну в целом одни берут деньги за гарантию, ведь если они переведут мошеннику, а он нефига не сделает то им, все равно придется вернуть всё, так что они тоже рискуют и $1000 возможно не просто так а рассчитана исходя из этого.
yleo
09.12.2018 15:38+1Отминусовал: по-факту fud-перевод fud-заметки по fud-заявлению Check Point.
В сопричастных к теме кругах есть три общеизвестных факта:
- Без ключей не расшифровать. Если конечно авторы шифровальщика где-то не налагали, что достаточно редко. А если случается то "дятлы Касперского" относительно быстро выпускают инструменты для расшифровки.
- Для 80% платежеспособных пострадавших от шифровальщиков за восстановление, мягко говоря, удобнее официально заплатить посреднику. Причем маржа посредников определяется/ограничивается, прежде всего, конкуренцией среди этих посредников.
- "Доктор ноль" (полный перевод греческого и арабского корней "Dr. Shifro") давным-давно известная контора, со специфичной, но ПОНЯТНОЙ бизнес-моделью. При желании таких можно найти еще десяток, начиная с упомянутой Сoveware.
Конечно, шифровальщикам платить не стоит. Однако, когда дело оборачивается потерей данных и репутации, приоритеты "внезапно" у пострадавших меняются. Поэтому всяческих "докторов нуль" можно упрекнуть только в том, что они не говорят об этом явно, сразу и в лоб. Хотя постойте, откуда же "недовольные клиенты" и кто-то в CheckPoint узнали об этом?
Получается, что Dr. Shifro плохие, из-за того что все-таки говорят что делают, а всякие Сoveware хорошие, потому что тупо не сознаются в очевидном? — Вот это лично меня и раздражает в данном случае.
Jump
09.12.2018 17:10+1Вполне нормальный бизнес — многие не готовы связываться с вымогателями, перечислять какие-то биткойны на мутных ресурсах. Им гораздо удобнее перегнать деньги на расчетный счет, на основании договора.
Разумеется такие удобства стоят денег — какой смысл удивляться что это стоит дороже чем у злоумышленников?
befart
09.12.2018 18:51Временный бизнес и очень рисковый. Стоит чуть общественности взволноваться на подобные фирмы, и всякие ФБР, ЦРУ, АНБ начнут гоняться за их сотрудниками по всему миру обвиняя в кибертерроризме или, в лучшем случае, в соучастии.
VolCh
Так платят клиенты за результат, который получают? Или там в договорах обязательство делать исключительно собственными силами, не передавай на субподряд третьим лицам?
Ну и в целом, если компания нашла способ платить за расшифровку не нарушая законы, а клиенты найти не могут или не хотят связываться с теми же биткоинами, засоряя отчётность сомнительными операциями, то вполне справедливая цена за ноу-хау или взятие на себя рисков сомнительных операций.
staticlab
Тебе не придётся обманывать клиентов, если твои специалисты сами же пишут эти вирусы :)
areht
а какие законы нарушает оплата за расшифровку?
Thero
это по грани преступного сговора происходит… ну и это считай пособничество террористам…
VolCh
Если террористы взяли сотрудников компании в заложники и требуют выкупа, то его уплату сложно подвести под пособничество террористам. В правовом либеральном государстве.
TheShock
Ну если абстрактный ОМОН за деньги пообещает провести спецоперацию и освободить заложников, а сам просто подеребанит с ними эти деньги, то именно этим и будет считаться.
chapai22
это частный омон. не казенный. так что договариваются как хотят, и чем гарантированней результат и бескровней — тем лучше.
areht
Очевидно, что ни один абстрактный омон не будет обещать делать то, чего делать заведомо не будет.
Вам пообещали расшифровать — расшифровали.
VolCh
В смысле заложников не освободит? Насколько я знаю, даже официальные правоохранительные органы практикуют схемы, когда выкуп реально оплачивается из средств того, кто его требует (когда из-за отсутствия средств у органов, когда из-за подозрений, что злоумышленники могут мониторить движения средств плательщика или самих органов), а потом проводится попытки задержания или хотя бы установления реальных получателей. Не всегда удачные. И никто не обвиняет ни органы, ни плательщика в пособничестве пока нет подозрений о сговоре.
TheShock
Да, вот только люди знают, что платят выкуп. А не делают вид, что проводят спецоперацию, а на самом деле платят выкуп
VolCh
То есть они вообще сознательно финансируют террористов, а не введены в заблуждение органами? :)
jerboa85
Это зависит от того, как были обоснованы документально (и как осуществлялись «физически») многомиллионные переводы неизвестным лицам.
Но нарушения точно есть, по бухгалтерии у них должны быть большие пробелы — злоумышленники бумаг за переведенные деньги не дают.
odiemius
Еще с помощью таких вот компаний по расшифровке вполне легально могут отмываться деньги, даже если компания-посредник будет с нулевой маржой работать. Ведь появляется же и легальный договор на работу и подписанные акты после предъявления расшифрованных файлов.
NiTr0_ua
как проведете через бухгалтерию покупку биткоинов для расшифровки — расскажете :)
DarkWanderer
Почему же они честно не говорят, чем занимаются?
VolCh
Честно говорят — расшифровывают. А каким способом — ноу-хау :)
DGN
Потому что у клиента возникают «моральные страдания», клиент готов заплатить за решение своей проблемы опытным специалистам, но не готов злоумышленникам. До кучи злоумышленникам надо платить в каких то биткоинах, платить без гарантий результата, а специалистам можно платить по факту и безналу.
DoctorMoriarty
>если компания нашла способ платить за расшифровку не нарушая законы
Интересно, как это сделка с преступниками, фактически являющаяся изначальной целью преступников, может быть не нарушающей закон?
VolCh
Выплата выкупа за заложников какие законы нарушает?
DoctorMoriarty
Выкуп за заложников — только часть масштабной операции, предусматривающей выявление и обезвреживание преступников, и такая выплата осуществляется с разрешения силовиков. А не связанная с правоохранительными органами и не действующая в рамках мероприятий по выявлению и обезвреживанию похитителей группа лиц, специализирующаяся на выплатах выкупа с получением процента за услуги — пособники преступников и, вероятно, участники преступного сговора.