Atklāts patiesais Bitcoin izspiedējvīrusu izspiešanas apjoms

Ransomware ir viens no satraucošākajiem ļaunprātīgas programmatūras veidiem, kas pēdējos gados ir parādījušies. Tas darbojas, ierobežojot piekļuvi datora failiem, līdz tiek samaksāta izpirkuma maksa. Cietušo vidū ir Lielbritānijas Nacionālais veselības dienests, Spānijas telekomunikāciju uzņēmums Telefonica, Krievijas naftas gigants Rosņeftj un daudzi citi.





Lai atbrīvotu savus failus, upuriem parasti ir jāmaksā Bitcoin izpirkuma maksa, kas līdzvērtīga dažiem simtiem dolāru. Parasti izpirkuma maksa laika gaitā palielinās līdz noteiktajam termiņam, kad faili tiek it kā iznīcināti. Daudziem uzņēmumiem un privātpersonām nav bijis citas izvēles, kā tikai samaksāt.

Un tas rada interesantu jautājumu. Cik daudz naudas ir ģenerējušas Bitcoin ransomware programmas saviem ļaunprātīgajiem saimniekiem?

CryptoWall Bitcoin kontos izmaksāto izpirkuma maksu ASV dolāru vērtība



Šodien mēs saņemam atbildi, pateicoties Mauro Conti darbam Padujas Universitātē Itālijā un pāris kolēģiem. Šie puiši ir izveidojuši Bitcoin kontu datubāzi, ko izmanto izspiedējvīrusu noziedznieki, un saskaitījuši tajos iemaksātās izpirkuma maksas. Rezultāts ir visaptveroša analīze par kibernoziedznieku gūtajiem ieguvumiem šajā jaunajā noziedzības jomā.

Lai gan izspiedējvīrusa programmatūra var pieprasīt maksājumu valūtā, Conti un co koncentrējas tikai uz tiem, kas pieprasa Bitcoin maksājumus. Tas ir tāpēc, ka Bitcoin darījumi tiek atklāti reģistrēti un brīvi apskatāmi. Tātad principā vajadzētu būt iespējai precīzi noteikt, cik katrs konts saņem. Mūsu mērķis bija precīzi izmērīt šo maksājumu USD vērtību, saka Conti un co.

Komanda sāka, izveidojot ar šāda veida darbībām saistīto Bitcoin kontu datubāzi kopš 2013. gada, kad izpirkuma programmatūra Cryptolocker kļuva par pirmo, kas pieprasīja maksājumu Bitcoin. Mēs atradām divdesmit izpirkuma programmatūru, kas atbilda mūsu atlases kritērijiem, t.i., šīs izpirkuma programmas: (i) kas izmantoja Bitcoin kā vismaz vienu izpirkuma maksas maksāšanas veidu un (ii) kurai vismaz viena Bitcoin adrese ir publiski zināma, viņi skaidro.



Katrai ļaunprātīgas programmatūras sugai tie sniedz noderīgu pārskatu par to, kā tā darbojas un izplatās un kā tā laika gaitā ir attīstījusies.

Ne visi maksājumi šajos kontos noteikti ir izpirkuma maksa. Tāpēc Conti un co izstrādāja veidu, kā atšķirt izpirkuma maksu no citiem veidiem. Viņi to dara, meklējot maksājumus, kas atbilst konkrētajām summām, kuras ļaunprātīga programmatūra pieprasa izpirkuma maksā.

Visbeidzot, Conti un co saskaita visus izpirkuma maksājumus, kas saņemti no katra veida ļaunprātīgas programmatūras. Viņu darbs atklāj visrentablāko izspiedējvīrusu, bet arī rada jautājumus par to, kā šie konti tiek izmantoti un kā tos var izsekot.



Līdz šim visrentablākais izpirkuma programmatūras veids ir CryptoWall, kas sāka inficēt Windows datorus 2013. gada novembrī. Tas šifrēja failus, izmantojot šifrēšanas algoritmu RSA-2048, un pēc tam pieprasīja līdz pat 1400 $, lai tos atbrīvotu.

Ļaunprātīga programmatūra izplatījās, izmantojot dažādus vektorus, piemēram, lejupielādes saites, kuras nosūtījis Cutwail surogātpasta robottīkls. Dažas ļaunprogrammatūras versijas katram inficētajam lietotājam izveidoja unikālu Bitcoin maksājumu adresi un izmantoja Tor darknet sistēmu, lai nodrošinātu anonīmas saites uz katru upuri.

No tās izlaišanas līdz 2015. gada decembrim Bitcoin adreses, kas saistītas ar šo ļaunprogrammatūru, saņēma 2,2 miljonus ASV dolāru Bitcoin maksājumos un vēl 2,3 miljonus ASV dolāru lielas vērtības darījumos, par kuriem Conti un līdziniekiem ir aizdomas, ka tie varētu būt arī izpirkuma maksājumi.



Interesanti, ka šo Bitcoin adresēm saņemto maksājumu kopējā vērtība pārsniedza 45 miljonus USD. Lielāko daļu šo darījumu Conti un co nebija tieši saistījuši ar izpirkuma maksu. Tā ir ievērojama naudas summa, un tas rada acīmredzamu jautājumu par to, par ko tas bija maksājums.

Pilns Bitcoin ransomware projektu rangs pēc to radītās summas ASV dolāros ir šāds:

Ransomware Bitcoin izpirkuma maksa saņēma USD vērtību

CryptoWall 5 351.2329 2 220 909.12

CryptoLocker 1403.7548 449 274.97

DMA skapītis 339,4591 178 162,77

WannaCry 47,1743 86 076,76

CryptoDefense 126.6960 63.859.49

NotPetya 4,0576 9 835,86

KeRanger 9999 4 173,12

Interesanti, ka WannaCry uzliesmojums saņēma milzīgu plašsaziņas līdzekļu atspoguļojumu, jo ļaunprogrammatūra izplatījās plaši. Taču uzbrukumu izjauca kiberdrošības pētnieks Markuss Hačinss, kurš atklāja un aktivizēja iebūvēto iznīcināšanas slēdzi, kas neļāva ļaunprogrammatūrai būt destruktīvākai.

Kopējā ietekme (tostarp finansiālie zaudējumi) WannaCry infekcijas dēļ varēja būt sliktāka… pateicoties agrīnai iznīcināšanas slēdža atklāšanai, kas neļāva inficētajiem datoriem izplatīt WannaCry tālāk, saka Conti un citi.

Komanda apspriež arī citus ļaunprātīgas programmatūras veidus, kas pieprasīja, bet, šķiet, nav saņēmuši ievērojamu izpirkuma maksu. Tie ietver TeslaCrypt, Hi Buddy! un KillDisk.

Dažādas citas grupas ir veikušas līdzīgas analīzes un nonākušas pie līdzīgiem secinājumiem. Tomēr Conte un co padara savu datu kopu publiski pieejamu, lai citi varētu to izmantot. Viņi saka, ka datu kopā ir detalizēta visu to adrešu darījumu vēsture, kuras mēs identificējām katrai izspiedējprogrammatūrai.

Kibernoziedznieki izmanto Bitcoin, jo tas nodrošina šķietami anonīmu maksājumu vākšanas un veikšanas veidu. Tomēr Bitcoin ir pseidonīms, nevis anonīms. Tas nozīmē, ka lietotāji var aizsargāt savu identitāti, ja nevienu no viņu darījumiem nevar saistīt ar viņu patieso identitāti. Taču, tiklīdz viens darījums tiek saistīts ar viņu personas identifikācijas datiem, visi viņu darījumi kļūst saistīti vienādi.

Noderīga līdzība ir ar autoriem, kuri publicējas ar pseidonīmu. Kamēr autora identitāte nekad nav saistīta ar kādu no pseidonīmiem rakstiem, viņš vai viņa paliek anonīms. Bet, ja tas ir saistīts tikai ar vienu pseidonīmu rakstu, tas tiek saistīts ar visiem tiem, un tad anonimitāte tiek zaudēta.

Tātad pseidonīma aizsardzība ir trausla lieta. Viens darījums, kas saista Bitcoin kontu ar personīgo kontu, var atklāt kibernoziedznieka identitāti. Un personas dati visu laiku noplūst tīmekļa darījumos.

Pagājušajā gadā mēs rakstījām par Bitcoin darījumu anonimitātes nepilnībām. Tam vajadzētu dot zināmu cerību izsekot šos noziedzniekus.

Conti un co ir izvirzījuši šāda veida izmeklēšanu kā nākotnes mērķi. Mēs centīsimies izsekot, kā saņemtās izpirkuma summas tika izmantotas un kas to izmantoja, viņi saka.

Tas ir drosmīgi un ambiciozi. Taču tas arī rada jautājumu — ko pa šo laiku dara tiesībsargājošās iestādes?

Atsauce: arxiv.org/abs/1804.01341 : Par Ransomware kampaņu ekonomisko nozīmi: Bitcoin darījumu perspektīva

paslēpties