«Гении дешифровки» из России оказались в сговоре с вымогателями-шифровальщиками

Софт Безопасность Бизнес
мобильная версия
, Текст: Роман Георгиев

Компания, якобы помогавшая восстанавливать данные, атакованные шифровальщиками, на деле выступала в роли посредников и просто выкупала ключи шифрования у вымогателей, выставляя за свои услуги очень круглые суммы.


RSA-1024? Расшифровали? Серьезно?

Российская компания Dr. Shifro, которая утверждала, что ее специалисты способны помочь расшифровать данные после атак любых шифровальщиков-вымогателей, как оказалось, вела мошенническую деятельность. Фактически, она просто покупала у операторов шифровальщиков ключи «со скидкой», взимая с клиентов весьма круглые суммы.

Эксперты отечественной ИБ-компании Check Point, исследовавшие новейшую разновидность шифровальщика Dharma, заподозрили неладное, когда наткнулись на сайт этой никому ранее не известной фирмы, рекламировавшей восстановление файлов после атак Dharma, Bomber, Cryakl и ряд других.

Дело в том, что Dharma использует ассиметричное шифрование по алгоритму RSA-1024. Производительность современного оборудования в теории позволяет декодировать данные, зашифрованные с помощью этого алгоритма, но для этого потребуются годы, а то и десятилетия.

Однако экспертам Check Point удалось каким-то образом ознакомиться с перепиской между Dr. Shifro и одним из клиентов, и выяснить, что между отправкой зашифрованных файлов и их расшифровкой прошло всего два часа.

haker600.jpg
«Дешифровщик» выкупал приватные ключи у операторов шифровальщиков

В то, что Dr. Shifro действительно способна победить RSA-1024, эксперты не поверили и предположили, что дешифровщик в реальности является чем-то вроде посредника между операторами шифровальщика и их жертвами.

«Такой быстрый ответ мог означать две вещи: либо у Dr. Shifro уже были приватные RSA-ключи для данного случая заражений, либо что он (Sic!) постоянно общается с оператором шифровальщика и получает их», — написали в своем отчете эксперты Check Point.

Ловушка с капканом

Чтобы проверить теорию, в Check Point организовали виртуозную ловушку. Несколько файлов были зашифрованы с помощью того же алгоритма, которым пользуется Dharma, с использованием свежесгенерированного публичного ключа. Кроме того, эксперты создали почтовый ящик, якобы принадлежащий оператору шифровальщика, и встроили его в наименования зашифрованных файлов. А затем отправили это все в Dr. Shifro с просьбой помочь.

На два дня установилась тишина. Затем на фальшивый адрес пришло письмо с просьбой предоставить ключ дешифрования и предложением оплаты в биткоинах. Только эксперты Check Point и люди, стоящие за Dr. Shifro, знали этот адрес.

В ходе дальнейшей переписки между «оператором шифровальщика» и Dr Shifro последний признал, что является посредником между киберзлоумышленниками и жертвами шифровальщика и с 2015 г. регулярно выкупает ключи шифрования, не задавая вопросов. Впрочем, Dr. Shifro запросил скидку. Мнимые вымогатели требовали 0,2 биткоина, а Dr. Shifro попросил скинуть цену до 0,15 биткоина.

Эксперты Check Point на этом прекратили коммуникацию от лица вымогателей, а затем от лица пострадавших запросили новости. И получили ответ: «Мы смогли расшифровать ваши файлы. Стоимость инструмента для расшифровки составляет 150 тыс. руб. + 5 тыс. руб. за выезд специалиста...».

По подсчетам CheckPoint, в случае выплаты этой «премии», Dr. Shifro получил бы примерно на $1 тыс. больше суммы, которую изначально требовали мнимые вымогатели.

Без явного криминала

В дальнейшем эксперты Check Point смогли вычислить личность человека, создавшего Dr. Shifro: как ни странно, он с готовностью выслал сканы своих подлинных документов перед подписанием договоренности. При этом электронный адрес на сайте Dr. Shifro использовался в нескольких аккаунтах в соцсетях, так что в итоге экспертам из Check Point удалось вычислить его настоящую страницу во «Вконтакте».

Эксперты отметили, что, хотя деятельность Dr. Shifro является весьма неэтичной, строго говоря, ее трудно назвать незаконной (не считая недобросовестной рекламы). Проблема в том, что подобные вещи могут только дополнительно повысить и без того высокую привлекательность шифровальщиков для киберкриминала: люди и организации охотнее заплатят те же деньги «расшифровщикам», даже мнимым, чем выкуп злоумышленникам.

Характерно, что Dr. Web, например, уже идентифицирует сайт Dr. Shifro как потенциально опасный.

«По-видимому, создатель этого бизнеса расчитывает на то, что жертвы не будут пытаться выяснять текущий курс биткоина и считать, сколько они потеряют при прямой выплате выкупа, — говорит Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — В результате “посредник” получает существенную комиссию с каждой такой операции, особенно, если ему удается выбить скидку».