Дослідження показує, що більшість програм-вимагачів просто виплачують Крипто

Дослідження ProPublica показало, що більшість постачальників рішень для програм-вимагачів мають ONE дивний трюк, щоб позбутися хакерів – платити їм.

Згідно з даними експертів, активність програм-вимагачів зростає щотижня Coveware . Результат? Компанії, які просто хочуть заплатити викуп і піти далі.

За даними Coveware, у першому кварталі 2019 року зросла кількість атак програм-вимагачів:

У першому кварталі 2019 року середня сума викупу зросла на 89% до 12 762 доларів США порівняно з 6 733 доларами США в четвертому кварталі 2018 року. Збільшення суми викупу відображає збільшення кількості заражень дорожчими типами програм-вимагачів, такими як Ryuk, Bitpaymer і Iencrypt. Ці типи програм-вимагачів переважно використовуються для цілеспрямованих атак на великі підприємства.

Проте, як тільки хакери зашифрують заражений комп’ютер, справжнє питання полягає в тому, як розблокувати ваші дані. ProPublica виявила, що багато компаній з відновлення даних просто платять викуп, а потім стягують премію за свої проблеми.

Згідно з електронними листами компанії та колишніми клієнтами, Proven Data пообіцяла допомогти жертвам програм-вимагачів, розблокувавши їхні дані за допомогою «останньої Технології». Замість цього він отримав інструменти дешифрування від кібератак, сплачуючи викуп, згідно зі Сторфером і афідевітом ФБР, отриманим ProPublica.





ProPublica виявила, що інша американська компанія, розташована у Флориді MonsterCloud, також стверджує, що використовує власні методи відновлення даних, але натомість платить викупи, іноді не повідомляючи жертв, наприклад місцеві правоохоронні органи. Фірми схожі в іншому. Обидва стягують з жертв значні гонорари на додаток до суми викупу. Вони також пропонують інші послуги, такі як закриття проломів для захисту від майбутніх атак. Обидві фірми використовували псевдоніми для своїх працівників, а не справжні імена, спілкуючись із жертвами.

Піднімаючись

Програми-вимагачі погіршуються.

Після того, як генпрокурор США розшукав і пред'явлено звинувачення двох іранських хакерів за випуск програми-вимагача під назвою SamSam, влада сподівалася, що поширеність атак знизиться. Натомість він зріс, значно перевищивши рівень 2018 року.

Причина, на думку багатьох, полягає в тому, що програми-вимагачі дуже прибуткові. Хакери можуть розпочати атаку, а потім, коли жертви виявлять злом, вони ненадовго домовляться з такими компаніями, як MonsterCloud та іншими, щоб розблокувати комп’ютери. Однак багато з цих компаній пропонують методи відновлення, і багато дослідників безпеки працюють над безкоштовними ONE популярний WannaCry програми-вимагачі.

На жаль, хаків стає все гірше, а необхідне програмне забезпечення стає складнішим.

Coveware визнає

фактично вести переговори з шахраями. Вони виявили, що це ONE із найпростіших методів повернення даних. Проте викликає занепокоєння те, що ці зусилля ненавмисно фінансують тероризм. Крім того, вони пишуть, що розшифровка зламаних комп’ютерів займає більше часу завдяки новим версіям програми-вимагача. У першому кварталі 2019 року, як пише Coveware, «середній час простою збільшився до 7,3 дня з 6,2 дня в четвертому кварталі 2018 року».

Розпізнавання образів

Генеральний директор Coveware Білл Сігел виявив, що середнє відновлення програм-вимагачів насправді T є результатом переговорів із «терористами», як вважають урядовці США. Цього року вони обговорили «кілька сотень» випадків програм-вимагачів і виявили, що кожен хакер відрізняється від інших і часто просто розчарований.

«Грунтуючись на нашому вивченні галузі та досвіді, ми вважаємо, що переважна більшість — це відносно нормальні люди, які T мають юридичних економічних перспектив, які відповідають їхнім технічним здібностям», — сказав Сігел. «Вони також живуть у частинах світу, які знаходяться поза юрисдикцією західних правоохоронних органів, і неоднозначно ставляться до крадіжки на Заході».

Їхній процес спілкування з хакерами також досить точний.

"Ми вивчаємо їхні комунікаційні моделі, щоб створити базу даних досвіду. Існує напрочуд невелика група загрозливих суб’єктів, які активні в будь-який момент часу, тому ідентифікувати їх відносно просто. Звідти ми маємо сценарії та тактики, які ми відточили на основі нашого досвіду. Ми спираємося на них, щоб розробити стратегію переговорів від імені нашого клієнта. Ми знаємо хакерів на основі профілю та шаблонів, які вони використовують. Ми T спілкуємося з ними окрім представництва наших клієнтів у переговорах, усі дані, які ми створюємо з наших випадків, також надаються правоохоронним органам щоквартально».

Зохар Пінхасі з MonsterCloud сказав, що його компанія наполегливо працювала над використанням обох методів – відновлення та викупу.

Процес відновлення залежить від випадку до випадку залежно від масштабу та характеру кібератаки. Наші методи відновлення та захисту даних є результатом багаторічного технічного досвіду та експертних знань, і ми не розголошуємо цей процес громадськості чи нашим клієнтам. Це чітко повідомляється наперед. Однак я можу вам сказати, що ми є компанією з кібербезпеки, а не з відновлення даних. Ми маємо величезні знання та досвід роботи з цими злочинцями, і ми витрачаємо незліченну кількість годин на те, щоб стежити за їхніми методами, що розвиваються, щоб надати нашим клієнтам захист від усіх майбутніх зловмисників, а не лише від ONE, хто проникає в їхні дані, коли вони звертаються до нас. Ми пропонуємо гарантію повернення грошей будь-якому клієнту, якщо ми не можемо відновити його дані, і на сьогоднішній день у нас не було жодного клієнта, який повідомив про наступну атаку від тих самих злочинців або будь-якого іншого зловмисника.

Хоча відправлення кількох тисяч BTC на незнайому адресу може не сподобатися багатьом жертвам, це все одно LOOKS як найкращий спосіб скоротити час простою. Зрештою, організація винна в тому, що виявила помилку програми-вимагача. Запобігти, як то кажуть, часто краще, ніж лікувати.

Зображення через архів CoinDesk .