Пять признаков того, что шифровальщики превращаются в индустрию

Страница DarkSide Leaks выглядит как полноценный сайт провайдера онлайн-сервиса. Объясняем, зачем это нужно операторам шифровальщика.

Не так давно мы писали про уловки группировки DarkSide, которая пыталась оказать давление на жертву, рассылая угрозы ее партнерам. Мы изучили сайт этой группировки, DarkSide Leaks, и обнаружили, что она пытается вести себя как полноценный провайдер онлайн-сервиса, используя традиционные маркетинговые приемы. В этом посте мы собрали пять наиболее наглядных примеров такой трансформации.

Darkside налаживает контакты с прессой

Злоумышленники пытаются организовать что-то вроде пресс-центра — якобы для того, чтобы дать возможность журналистам задавать вопросы и получать информацию из первых рук, а также узнавать о грядущих публикациях похищенной информации заранее.

Раздел для прессы на Darkside Leaks подразумевает регистрацию

На самом деле понятно, что настоящая цель операторов DarkSide — получить как можно больший резонанс в Сети, раздуть шумиху. Ведь чем чаще о них пишут, тем больше вероятность, что очередная жертва решит молча заплатить деньги.

Партнерство с компаниями-расшифровщиками

Шантажисты ищут партнеров среди компаний, которые оказывают легитимные услуги по расшифровке данных. Якобы некоторые жертвы не имеют своих специалистов и потому нуждаются в помощи внешних экспертов. Этим экспертам предлагают скидки, растущие в зависимости от объемов услуг, а также контакт с технической поддержкой.

На сайте DarkSide Leaks размещено объявление о поиске партнеров якобы для помощи жертвам

На самом деле данный прием — вовсе не проявление заботы о жертвах, которые не могут расшифровать данные самостоятельно. Многим государственным компаниям запрещено вступать в переговоры с вымогателями, а вот с компанией, оказывающей услуги по расшифровке, взаимодействовать вполне можно. Поэтому и стали появляться своеобразные посредники. Они якобы возвращают ваши данные, а на самом деле просто платят выкуп самостоятельно и берут себе процент. Может быть, формально это и законная деятельность, но по факту очень напоминает соучастие в преступлении.

Благотворительная деятельность

Операторы шифровальщиков из DarkSide часть своих доходов перечисляют на благотворительные нужды — и публикуют информацию об этом на DarkSide Leaks. Вероятно, таким образом они пытаются показать тем, кто не хочет финансировать преступность, что часть их денег пойдет на благое дело.

На DarkSide Leaks опубликованы скриншоты, подтверждающие перечисление денег на благотворительность

Но это не совсем так. В ряде стран благотворительным организациям запрещено брать деньги, полученные незаконным путем. Поэтому платежи будут просто заморожены.

Бизнес-аналитика

Первые утечки информации, похищенной шифровальщиками, публиковались «где-то в даркнете». О них узнавали в основном коллеги преступников и специалисты по безопасности. Теперь же злоумышленники перешли к анализу похищенных данных и рынка: прежде чем публиковать информацию, они тщательно изучают контакты фирмы, вычисляют известных клиентов, партнеров и конкурентов. И адрес страницы, куда выкладываются краденые файлы, они рассылают уже не по хакерским форумам, а сразу людям, которым они (или сам факт утечки) могут быть интересны. Как мы уже рассказывали, основная цель тут — максимизировать урон по цели, чтобы запугать будущих жертв и увеличить шансы на получение выкупа.

Письмо заинтересованным сторонам

Декларация моральных принципов

На своем сайте преступники из DarkSide размещают некий список своих этических принципов — примерно так же, как это делают настоящие компании. Они утверждают, что никогда не атакуют медицинские компании (с некоторыми оговорками), агентства, предоставляющие ритуальные услуги, образовательные учреждения, некоммерческие организации и правительственные компании. Мы, честно говоря, не до конца понимаем, какой в этом смысл. Видимо, жертва должна подумать: «О, это такие принципиальные ребята, что им обязательно надо заплатить!».

Список этических принципов группировки DarkSide

Кроме того, если судить по истории с данными школьников, в которой принимала участие все та же DarkSide, это все пустые слова. Да, формально атаковано не учебное заведение, но по факту публикуются данные именно школ, то есть пострадавшей от шифровальщиков стороной все равно оказывается школа.

Как реагировать на то, что шифровальщики превращаются в индустрию?

Единственная причина такой трансформации «бизнеса» шифровальщиков — сверхприбыли. У злоумышленников слишком много средств, которые они могут вкладывать в анализ рынка, работу с партнерами и журналистами, благотворительность. Для того чтобы победить их, нужно перерезать им финансовые потоки. А для этого нужно:

  • Перестать платить. Да, это может быть достаточно болезненно, но это единственный выход. Подробнее ответ на вопрос, почему платить не надо, можно прочитать в недавнем посте Евгения Касперского.
  • Защищать все устройства, имеющие выход в Интернет, при помощи надежного защитного решения.
Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.