Согласно докладу, подготовленному Альянсом по борьбе с киберугрозами, за одним из самых успешных компьютерных вирусов, вымогающих биткоины, Cryptowall 3.0 стоит одна группировка хакеров. В то же время Лаборатория Касперского объявила о нейтрализации вирусов Coinvault и Bitcryptor, опубликовав более 14 тысяч ключей для дешифровки. 

CryptoWall 3.0 (CW3), «один из наиболее рентабельных и широко распространенных вирусов-вымогателей», вероятно, управляется единой группой злоумышленников, являющихся выходцами с постсоветского пространства. Об этом говорится в недавнем докладе Альянса по борьбе с киберугрозами. Альянс был образован компаниями Fortinet, Intel Security, Palo Alto Networks и Symantec в сентябре прошлого года. Его целью является привлечение внимания к сложным киберугрозам и сбор информации для индустрии кибербезопасности.

Исследователи из Альянса зафиксировали 406887 попыток заражения компьютеров вирусом CW3. Причиненный жертва ущерб оценивается в $325 млн. Сумма выкупа обычно варьируется от нескольких сот долларов до более чем тысячи долларов. Иногда хакеры могут удвоить сумму выкупа, если жертва не смогла расплатиться достаточно быстро.

Со времени появления вредоносной программы в 2014 году непрерывный поток денег стекался в сотни биткоин-кошельков. Однако, как удалось установить исследователям, в ходе многочисленных волн распространения вируса были задействованы одни и те же первичные адреса. Это привело их к выводу, что за всеми кампаниями по распространению вируса стояла единая группа. 

«Большинство этих биткоин-адресов используется для отмывания денег через легальные каналы или для оплаты за услуги, связанные с этими кампаниями, такие как программное обеспечение для взлома и/или ботнеты, применяемые для рассылки спама по электронной почте», – говорится в докладе.

Кроме того, вероятность заражения оказалась связана с географическим фактором. Большинство жертв проживали в Северной Америке и Австралии. Однако, как оказалось, некоторые страны оказались в стоп-листе CW3, то есть, вирус сам деинсталлировал себя с компьютера, расположенного в одном из этих регионов. Список данных стран, а именно: Белоруссия, Украина, Россия, Казахстан, Армения, Сербия и Иран, дал исследователям возможность осторожно предположить, что CW3 мог быть разработан выходцами из Восточной Европы.

Тем временем Лаборатория Касперского заявила, что вирусы-вымогатели Coinvault и Bitcryptor больше не представляют угрозы. Компания добавила в свою программу Ransomeware decryptor, позволяющую расшифровать данные, не платя выкуп хакерам, более 14 тысяч ключей для расшифровки.

«Мы считаем это дело закрытым. Создатели вируса-вымогателя арестованы и все существующие ключи добавлены в нашу базу данных».

Два молодых человека, предположительно являющиеся разработчиками Coinvault, были арестованы в Нидерландах в сентябре этого года.

На прошлой неделе ФБР посоветовало жертвам хакеров платить им выкуп в биткоинах. Агентство признало, что вирусы-вымогатели, шифрующие файлы, такие как Cryptolocker, Cryptowall и Reveton, слишком сложны, чтобы с ними можно было справиться имеющимися в распоряжении ФБР силами. В июне 2015 года ФБР оценило потери американцев от вирусов, вымогающих биткоины, в более чем $18 млн, назвав CryptoWall «самой современной и значительной вирусной угрозой, направленной против частных лиц и бизнеса в США».

 

Надежда Краснушкина