Исследование показало, что большинство программ-вымогателей просто выплачивают Криптo

Исследование ProPublica показало, что большинство поставщиков решений для борьбы с программами-вымогателями используют ONE странный трюк, чтобы избавиться от хакеров — платить им.

По данным экспертов, активность программ-вымогателей растет еженедельно.Coveware. Результат? Компании, которые просто хотят заплатить выкуп и двигаться дальше.

По данным Coveware, в первом квартале 2019 года число атак с использованием программ-вымогателей возросло:

В первом квартале 2019 года средний размер выкупа увеличился на 89% до $12 762 по сравнению с $6 733 в четвертом квартале 2018 года. Рост выкупа отражает рост числа заражений более дорогими типами программ-вымогателей, такими как Ryuk, Bitpaymer и Iencrypt. Эти типы программ-вымогателей в основном используются в индивидуальных целевых атаках на более крупные корпоративные цели.

Однако после того, как хакеры зашифровали зараженный компьютер, реальный вопрос заключается в том, как разблокировать ваши данные. ProPublica обнаружила, что многие компании по восстановлению данных просто платят выкуп, а затем взимают дополнительную плату за свои усилия.

Proven Data обещала помочь жертвам программ-вымогателей, разблокировав их данные с помощью «новейших Технологии», согласно электронным письмам компании и бывшим клиентам. Вместо этого она получила инструменты дешифрования от киберпреступников, заплатив выкупы, согласно Сторферу и показаниям под присягой ФБР, полученным ProPublica.





Другая американская компания, MonsterCloud из Флориды, также заявляет об использовании собственных методов восстановления данных, но вместо этого платит выкупы, иногда не информируя жертв, например, местные правоохранительные органы, как обнаружила ProPublica. Фирмы похожи и в других отношениях. Обе взимают с жертв существенные сборы сверх суммы выкупа. Они также предлагают другие услуги, такие как закрытие брешей для защиты от будущих атак. Обе фирмы использовали псевдонимы для своих сотрудников, а не настоящие имена, при общении с жертвами.

Поднимаюсь

Программы-вымогатели становятся все хуже.

После того, как Генеральный прокурор США выследил ипредъявлено обвинениедвух иранских хакеров за выпуск вируса-вымогателя SamSam, власти надеялись, что распространенность атак снизится. Вместо этого она выросла, значительно превзойдя показатели 2018 года.

Причина, по мнению многих, в том, что программы-вымогатели очень прибыльны. Хакеры могут начать атаку, а затем, когда жертвы обнаруживают взлом, они ведут краткие переговоры с такими компаниями, как MonsterCloud и другими, чтобы разблокировать компьютеры. Однако многие из этих компаний предлагают методы восстановления, и многие исследователи безопасности работают над бесплатными методами, на этот ONE для популярный WannaCryвирус-вымогатель.

К сожалению, взломы становятся все более опасными, а необходимое для этого программное обеспечение — все более сложным.

Coveware признает

до реальных переговоров с мошенниками. Они обнаружили, что это ONE из самых простых методов вернуть данные. Однако вызывает беспокойство то, что эти усилия непреднамеренно финансируют терроризм. Кроме того, пишут они, расшифровка взломанных компьютеров занимает больше времени из-за новых версий программ-вымогателей. В первом квартале 2019 года, пишет Coveware, «среднее время простоя увеличилось до 7,3 дней с 6,2 дней в четвертом квартале 2018 года».

Распознавание образов

Генеральный директор Coveware Билл Сигел обнаружил, что среднестатистическое восстановление после вымогательства T является переговорами с «террористами», как считают представители правительства США. В этом году они провели переговоры по «нескольким сотням» случаев вымогательства и обнаружили, что каждый хакер отличается от другого и часто просто разочарован.

«На основе изучения отрасли и опыта мы считаем, что подавляющее большинство — это относительно нормальные люди, T имеющие законных экономических перспектив, соответствующих их техническим возможностям», — сказал Сигел. «Они также живут в частях мира, которые находятся за пределами юрисдикции западных правоохранительных органов, и неоднозначно относятся к воровству на Западе».

Их процесс общения с хакерами также довольно точен.

«Мы изучаем их модели общения, чтобы иметь возможность создать базу данных опыта. Существует на удивление небольшая группа субъектов угроз, которые активны в любой момент времени, поэтому их выявление относительно просто. Оттуда у нас есть сценарии и тактики, которые мы отточили на собственном опыте. Мы используем их для разработки стратегии переговоров от имени нашего клиента. Мы узнаем хакеров на основе профиля и используемых ими моделей. Мы T общаемся с ними, за исключением представления интересов наших клиентов на переговорах. Все данные, которые мы создаем в ходе наших дел, также предоставляются правоохранительным органам ежеквартально».

Зохар Пинхаси из MonsterCloud заявил, что его компания усердно работала над тем, чтобы использовать оба метода — восстановление и выкуп.

Процесс восстановления варьируется от случая к случаю в зависимости от масштаба и характера кибератаки. Наши методы восстановления и защиты данных являются результатом многолетнего технического опыта и знаний, и мы не раскрываем этот процесс общественности или нашим клиентам. Это четко сообщается заранее. Однако я могу вам сказать, что мы являемся компанией по кибербезопасности, а не компанией по восстановлению данных. У нас есть обширные знания и опыт борьбы с этими преступниками, и мы тратим бесчисленное количество часов, оставаясь на вершине их развивающихся методов, чтобы предоставить нашим клиентам защиту от всех будущих злоумышленников, а не только от того , кто проникает в их данные в момент, когда они обращаются к нам. Мы предлагаем гарантию возврата денег любому клиенту, если мы не сможем восстановить его данные, и на сегодняшний день у нас не было ни одного клиента, сообщающего о последующей атаке со стороны тех же преступников или любого другого злоумышленника.

Хотя отправка нескольких тысяч BTC на странный адрес может не понравиться многим жертвам, это все равно LOOKS как лучший способ сократить время простоя. В конце концов, это вина организации, которая изначально поймала ошибку программы-вымогателя. Профилактика, как говорится, часто лучше лечения.

Изображение из архива CoinDesk .