Фирма McAfee сообщила в понедельник, что операторы ransomware NetWalker — одна из наиболее опасных групп киберпреступников — с марта этого года получили более 25 млн долл., шантажируя свои жертвы.

Хотя точной статистики доходов преступной индустрии нет и не может быть, очевидно, что 25-миллионная прибыль вводит NetWalker в одну лигу с наиболее успешными бандами ransomware современности, такими как Dharma, REvil (Sodinokibi) и лидирующая с большим отрывом Ryuk.

Приведенная McAfee цифра была получена в результате отслеживания платежей, сделанных жертвами шантажа на известные адреса биткойн, связанные с преступниками. Эксперты не исключают, что их сведения не дают полной картины, и что реальный доход от нелегальных операций Netwalker может быть ещё больше.

Штамм ransomware под названием Mailto впервые появился в августе прошлого года, и впоследствии был переименован в NetWalker. Фактически, NetWalker это портал RaaS (Ransomware-as-a-Service), где прошедшие процесс отбора хакеры строят собственные версии этого ransomware.

Именно эти преступные группы второго звена, собственно и занимаются распространением вымогательских программ. В последнее время, при отборе таких аффилированных групп NetWalker предпочтение отдаётся тем, кто специализируется на целевых атаках крупных корпоративных сетей путём хирургически точных вторжений в серверы RDP, сетевое оборудование, брандмауэры, серверы VPN и т.п. Кроме того, автор NetWalker, скрывающийся за псевдонимом Bugatti, заинтересован в сотрудничестве только с русскоговорящими клиентами.

За последние месяцы активность NetWalker значительно возросла. На данный момент, самая высокопрофильная его жертва это Мичиганский университет — его сеть была взломана в конце мая.

По мнению экспертов McAfee, NetWalker представляет опасность для компаний по всему миру, а не только в США и Западной Европе — его основных «охотничьих угодьях».

Одной из отличительных особенностей сервиса RaaS, обеспечившей ему популярность в преступной среде, является «сайт утечек». Если переговоры с жертвой завершились безрезультатно, похищенные у неё конфиденциальные данные выкладываются на этом сайте в режиме отложенной публикации с таймером.

Таким образом вымогатели создают дополнительное давление на скомпрометированные компании, многие из которых опасаются не только уничтожения своих данных, но и утечки интеллектуальной собственности, а также имиджевого ущерба от появления в прессе известий об их взломе.

Источник: ko.com.ua