Nagyon megéri zsarolóvírust terjesztő kiberbűnözővé válni

Manapság nagyon gyakran olvashatunk híreket arról, hogy a zsarolóvírusok egyes cégeknél és közintézményeknél hány száz millió dolláros károkat tudnak okozni. Arról viszont sosem esik szó, hogy a kiberbűnözők hozzávetőlegesen mekkora bevételre tesznek szert a zsarolóvírusok terjesztésével.

Számítógépes kártevők fejlesztése és terjesztése súlyos bűncselekménynek minősül, a törvény a tettenért elkövetőket letöltendő börtönbüntetéssel és pénzbírsággal sújtja!

Persze az összes forgalomra csak óvatos tippek vannak, de a minap a Makay Kiberbiztonsági Kft. vetett egy pillantást a 2017 végén felfedezett Phobos zsarolóvírus egyik(!) Bitcoin-pénztárcájának tartalmára és tranzakcióira, aminek lehet némi információértéke annak fényében, hogy a GandCrab, a Dharma és a STOP (Djvu) mellett az egyik legelterjedtebb kártevőről van szó a Phobos személyében.

Phobos ransomware message

A kártevő által feltüntetett Bitcoin-pénztárca (ahová az aktuális árfolyamon több mint 3 millió forintos váltságdíjakat várták) nem mutatott túl sok különlegességet, legalábbis első ránézésre. A publikusan lekérhető adatokban minimális tranzakciószám és minimális bevétel volt látható (mintha egy nagyon gyengén teljesítő zsarolóvírus bevételeit látnánk), viszont az utolsó, egyben a pénztárcát teljesen kiürítő tranzakciósor címzettjei már inkább érdekesnek bizonyultak.

Ezeket a Bitcoin-pénztárcákat ugyanis a kiberbűnözők egyfajta bevételgyűjtőként használják, ahová a folyamatosan, egy-egy támadáshoz létrehozott pénztárcák tartalmát utalják. Természetesen feltételezhetnénk, hogy ezek a pénztárcák a pénzforgalom elfedésére szolgáló Bitcoin-mixer szolgáltatásokhoz tartoznak, de a tranzakciók vizsgálata alapján ez nem valószínű.

Phobos bitcoin wallet

A táblázatban láthatjuk, hogy az összegeket a gyűjtőtárcákból is továbbutalják és a következőből is megy tovább. Ezt jellemzően addig ismételgetik, amíg már egy csak nagyon nehezen feltérképezhető hálózatot kapunk.

A beérkező összegek mennyisége alapján viszont egyértelműen kijelenthető, hogy a zsarolóvírus egy nagyon jól megtérülő üzlet. Minimális, szinte nulla befektetést igényel, az eredmény pedig akár több száz bitcoinnyi lenyomozhatatlan bevétel – a vizsgált Phobos-példány második szintű pénztárcáiba például összesen több mint 380 bitcoin érkezett, ami jelenlegi árfolyamon közel 1,3 milliárd forintnak felel meg.

Az áldozatok milliárdokkal támogatják a zsarolóvírusok piacának folyamatos növekedését

Tekintettel arra, hogy a Phobos egy közepesen elterjedt, több, egymástól független kiberbűnözői kör által terjesztett kártevő, feltételezhető, hogy ez az összeg csupán egy kis része az összbevételnek. A GandCrabnél ez a összeg sokkal-sokkal magasabb lehet, annak ellenére, hogy már van hozzá dekódolási lehetőség is.

Megjegyzés: A decentralizált és „korlátlanul” használható Bitcoin-hálózat miatt szinte lehetetlen meghatározni a zsarolóvírusok piacának teljes pénzforgalmát.

…és hogy mekkora a lebukás esélye?

Túlzás lenne azt állítani, hogy a zsarolóvírus-készítők és -terjesztők lebuktatása lehetetlen, de a gyakorlatban nem nagyon hallhattunk olyanról, hogy lefüleltek volna bárkit is.

Ennek pedig az az oka, hogy rendkívül jól működő, ingyenes anonimizáló, elrejtő technológiák állnak a támadók rendelkezésére, amiknek visszafejtése sokkal-sokkal több erőforrást emésztene fel, mint amiért megérné egy adott támadással foglalkozni. Ráadásul, ha valaki gyanúba is kerül, egyszerűen letagadhatja a vádakat, mondván, hogy az ő számítógépét vagy szerverét is csak felhasználták.

Ugyanakkor esetenként nem is magánszemélyek vagy illegális tevékenységet (is) folytató szervezetek állnak egy-egy zsarolóvírus mögött, hanem egész kormányok. Ennek legutóbbi példája az ENSZ állítása, miszerint az észak-koreai kormánynak dolgozó Hidden Cobra kiberbűnözéssel, többek között zsarolóvírusok terjesztésével keresett eddig mintegy 2 milliárd dollárt az államnak.


A cikk másodközlése kizárólag kattintható forrásmegjelöléssel engedélyezett!

További cikkek

Webes és hálózati sérülékenységvizsgálat

Zsarolóvírusok eltávolítása és adat-visszaállítás

Cyber Threat Intelligence
riasztások

Incidensvizsgálat és nyomelemzés

DoS, DDoS támadás, terhelésteszt

Social engineering, biztonságtudatosság

Fájlok visszaállítása és végleges törlése

Hackertámadás elleni védelem

IT biztonsági tanácsadás és oktatás

Védelmi és vizsgálati termékek

Fájlok és adattárolók „törhetetlen” titkosítása

Antivírus megoldások PC-re és mobil eszközökre

Kibersuli gyerekeknek
az internet veszélyeiről

Általános kiberbiztonsági fogalomtár

Webes és hálózati sérülékenységvizsgálat

Incidensvizsgálat és nyomelemzés

Zsarolóvírusok eltávolítása és adat-visszaállítás

Cyber Threat Intelligence
riasztások

DoS, DDoS támadás, terhelésteszt

Social engineering, biztonságtudatosság

Hackertámadás elleni védelem

Megosztás