Шифровальщик, которому не нужны деньги

    Возвращение Petya-подобного шифровальщика уже во всю анализируют специалисты по ИБ. Среди первой волны экспертных оценок стоит выделит мнение о том, что основная задача (в рамках данной атаки) могла заключаться совсем не в вымогательстве денежных средств, а в повреждении ИТ-систем.

    / фото Adam Foster CC

    Такую оценку дают независимые эксперты и специалисты по ИБ, представляющие научное сообщество (например, Калифорнийский университет в Беркли).

    Дело в том, что организация «сбора средств» оставляла желать лучшего. Каждой «жертве» шифровальщика был предоставлен одинаковый Bitcoin-адрес. Такой подход очень редко используют те, кто действительно хочет что-то получить — современные «шифровальщики-вымогатели» генерируют новый адрес для каждой «жертвы».

    В качестве канала для коммуникации был предложен обыкновенный email-ящик, размещенный в Германии у местного провайдера Posteo. Как только атака набрала обороты, ящик закрыли. Таким образом, даже те, кто перевел денежные средства, не смогли получить «дешифратор».

    С другой стороны, эксперты подчеркивают многовекторный характер атаки и общую сложность «шифровальщика». С технологической точки зрения NotPetya выполнен на очень высоком уровне и использует EternalBlue и EternalRomance, эксплуатирующих уязвимость в Windows-реализации протокола SMB (многие компании проигнорировали соответствующий патч).

    Пока мы готовили эту заметку, появились и другие экспертные мнения, которые подтвердили предположения коллег. Petya-2017 производит необратимое воздействие, что в корне отличается от поведения Petya-2016, который позволял сделать «откат» к изначальному состоянию.

    Эксперты говорят о том, что «маскировка» под «шифровальщика-вымогателя» могла быть применена для того, чтобы получить наиболее широкий охват в медиа по аналогии с WannaCry.

    Материалы по теме на Хабре:


    Дополнительное чтение — наши материалы:

    ИТ-ГРАД
    146.92
    vmware iaas provider
    Share post

    Comments 15

      0
      Как по мне, «стоимость» нанесения подобного ущерба несовместима с возможными сборами за дешифровку. Хотя WannaCry (тем более Petya-2017) и не показал какие-то сборы, ущерб для организаций был существенный. Относительно подхода к освещению ситуации в медиа — здесь имидж «вымогателя» может быть даже полезнее для обывателей, которые в ином случае просто не обратили бы на подобную новость свое внимание.
        0
        Как по мне, «стоимость» нанесения подобного ущерба несовместима с возможными сборами за дешифровку.

        А сколько он может стоить? Его же не с нуля делали, технология атаки известная, код тоже доступен. Вчера автор собрал эквивалент 13 тысяч долларов на тот биткойн-кошелек. Полагаю, сегодня урожая ещё добавилось. Так что даже разработку оно так или иначе окупит (если это не чей-то государственный проект с, как водится, завышенной на порядок себестоимостью).
          0
          В ссылке из поста пишут, что уже не доступен адрес для подтверждения отправки средств («Moreover, the payment email address isn’t accessible anymore if victims would happen to send payments»). Смысла платить уже нет.
            0
            Да даже если ему заплатит один процент от тех пострадавших, кто новости про недоступный адрес почты не прочитал, это не одна сотня тысяч долларов будет.
          0
          Наиболее совершенные зловреды разрабатываются прицельно, и нанесение ущерба изначально тоже является адресным. А уже потом это выплывает на просторы большого интернета.
          0
          del
          Похоже, какой-то бажок в движке комментариев. Два раза было сегодня — отвечаю на самый последний комментарий в теме, ответ сохраняется как отдельный комментарий.
            –2
            А сами вы в него смотрели или опирались на чужое мнение?
              0
              Каждой «жертве» шифровальщика был предоставлен одинаковый Bitcoin-адрес. Такой подход очень редко используют те, кто действительно хочет что-то получить — современные «шифровальщики-вымогатели» генерируют новый адрес для каждой «жертвы».
              В чем смысл разных адресов?
              Даже зная один адрес на который был переведен выкуп можно легко отследить, куда транзакция пойдет дальше. Поэтому один адрес, на первый взгляд, не дает преимуществ перед многими.
                0
                Разные адреса нужны для идентификации платежа — чтобы центральный сервис смог гарантированно проверить, что именно этот инстанс вымогателя уже оплачен и ему стоит отдать команду на дешифровку.
                  0
                  Кошелек отправителя не подходит? Как вариант сначала писать письмо, потом осуществлять транзакцию. Отправитель денег тот, кто написал раньше, чем транзакция была создана, ему и отправляем ключ.
                    0
                    Подходит, я фигню написал. Приношу извинения
                  0
                  Тут наверно нужно было написать не «индивидуальный кошелек» а «индивидуальный контактный e-mail» — чтоб не побанили (что уже произошло) и была возможность контакта с «жертвой».
                    0
                    Обычно как раз индивидуальный кошелек. Злоумышленник видит, что раз деньги на него поступили, значит выкуп заплачен, и он знает, кем (если он Робин Гуд, и вообще реализовал такую возможность). А контактировать по электронке с жертвой ему наоборот, нежелательно. Это лишняя лазейка, которая хоть немного, но угрожает анонимности злоумышленника.
                      0
                      Злоумышленник знает что ему заплатили и даже готов всё расшифровать. Но как? У него же нет контактов жертвы, как ему передать ключ для расшифровки?
                        0
                        Если у злоумышленника вообще есть такое желание, то ему же не нужно передавать ключ лично на ящик пользователя. Все приличные современные вирусы умеют самостоятельно ходить во всякие там интернеты. Автор вируса просто выкладывает где-нибудь ключ, где тот сам его заберёт.

                Only users with full accounts can post comments. Log in, please.