Nagyon megéri zsarolóvírust terjesztő kiberbűnözővé válni

Manapság nagyon gyakran olvashatunk híreket arról, hogy a zsarolóvírusok egyes cégeknél és közintézményeknél hány száz millió dolláros károkat tudnak okozni. Arról viszont sosem esik szó, hogy a kiberbűnözők hozzávetőlegesen mekkora bevételre tesznek szert a zsarolóvírusok terjesztésével.

Számítógépes kártevők fejlesztése és terjesztése súlyos bűncselekménynek minősül, a törvény a tettenért elkövetőket letöltendő börtönbüntetéssel és pénzbírsággal sújtja!

Persze az összes forgalomra csak óvatos tippek vannak, de a minap a Makay Kiberbiztonsági Kft. vetett egy pillantást a 2017 végén felfedezett Phobos zsarolóvírus egyik(!) Bitcoin-pénztárcájának tartalmára és tranzakcióira, aminek lehet némi információértéke annak fényében, hogy a GandCrab, a Dharma és a STOP (Djvu) mellett az egyik legelterjedtebb kártevőről van szó a Phobos személyében.

A Phobos zsarolóvírus által megjelenített üzenet a sikeres támadásról

A kártevő által feltüntetett Bitcoin-pénztárca (ahová az aktuális árfolyamon több mint 3 millió forintos váltságdíjakat várták) nem mutatott túl sok különlegességet, legalábbis első ránézésre. A publikusan lekérhető adatokban minimális tranzakciószám és minimális bevétel volt látható (mintha egy nagyon gyengén teljesítő zsarolóvírus bevételeit látnánk), viszont az utolsó, egyben a pénztárcát teljesen kiürítő tranzakciósor címzettjei már inkább érdekesnek bizonyultak.

Ezeket a Bitcoin-pénztárcákat ugyanis a kiberbűnözők egyfajta bevételgyűjtőként használják, ahová a folyamatosan, egy-egy támadáshoz létrehozott pénztárcák tartalmát utalják. Természetesen feltételezhetnénk, hogy ezek a pénztárcák a pénzforgalom elfedésére szolgáló Bitcoin-mixer szolgáltatásokhoz tartoznak, de a tranzakciók vizsgálata alapján ez nem valószínű.

A vizsgált Phobos-példány Bitcoin-gyűjtőtárcáinak tartalma

A táblázatban láthatjuk, hogy az összegeket a gyűjtőtárcákból is továbbutalják és a következőből is megy tovább. Ezt jellemzően addig ismételgetik, amíg már egy csak nagyon nehezen feltérképezhető hálózatot kapunk.

A beérkező összegek mennyisége alapján viszont egyértelműen kijelenthető, hogy a zsarolóvírus egy nagyon jól megtérülő üzlet. Minimális, szinte nulla befektetést igényel, az eredmény pedig akár több száz bitcoinnyi lenyomozhatatlan bevétel – a vizsgált Phobos-példány második szintű pénztárcáiba például összesen több mint 380 bitcoin érkezett, ami jelenlegi árfolyamon közel 1,3 milliárd forintnak felel meg.

Az áldozatok milliárdokkal támogatják a zsarolóvírusok piacának folyamatos növekedését

Tekintettel arra, hogy a Phobos egy közepesen elterjedt, több, egymástól független kiberbűnözői kör által terjesztett kártevő, feltételezhető, hogy ez az összeg csupán egy kis része az összbevételnek. A GandCrabnél ez a összeg sokkal-sokkal magasabb lehet, annak ellenére, hogy már van hozzá dekódolási lehetőség is.

Megjegyzés: A decentralizált és „korlátlanul” használható Bitcoin-hálózat miatt szinte lehetetlen meghatározni a zsarolóvírusok piacának teljes pénzforgalmát.

…és hogy mekkora a lebukás esélye?

Túlzás lenne azt állítani, hogy a zsarolóvírus-készítők és -terjesztők lebuktatása lehetetlen, de a gyakorlatban nem nagyon hallhattunk olyanról, hogy lefüleltek volna bárkit is.

Ennek pedig az az oka, hogy rendkívül jól működő, ingyenes anonimizáló, elrejtő technológiák állnak a támadók rendelkezésére, amiknek visszafejtése sokkal-sokkal több erőforrást emésztene fel, mint amiért megérné egy adott támadással foglalkozni. Ráadásul, ha valaki gyanúba is kerül, egyszerűen letagadhatja a vádakat, mondván, hogy az ő számítógépét vagy szerverét is csak felhasználták.

Ugyanakkor esetenként nem is magánszemélyek vagy illegális tevékenységet (is) folytató szervezetek állnak egy-egy zsarolóvírus mögött, hanem egész kormányok. Ennek legutóbbi példája az ENSZ állítása, miszerint az észak-koreai kormánynak dolgozó Hidden Cobra kiberbűnözéssel, többek között zsarolóvírusok terjesztésével keresett eddig mintegy 2 milliárd dollárt az államnak.