О новом виде консалтинга в индустрии программ-вымогателей, который может вовлечь клиентов в мошенническую схему, рассказали в компании Check Point Research. К консультанту по разблокировке зашифрованных файлов обычно обращается компания, которая не имеет резервной копии, чтобы их восстановить, и которая не желает платить выкуп вымогателю. Впрочем, для разблокировки файлов консультант может сам связываться с автором программы-шифратора, выяснили в Check Point Research.
В качестве примера работы консультанта по разблокировке файлов Check Point Research привела компанию Dr. Shifro, пишет «Коммерсантъ». Она запустила сервис в 2016 году на волне массовых заражений вирусами-шифровальщиками и утверждает, что использует «уникальный алгоритм по восстановлению данных». На деле сервис «фактически контактировал с создателем программ-вымогателей и заключил с ним сделку», утверждает Check Point Research. Автор программы получает $1,3 тыс., а консультант — $1 тыс. с жертвы за разблокировку файлов.
Это неуникальная модель, есть реклама похожих услуг от других сервисов, но большого количества таких компаний не наблюдается. Если ведущие компании по информационной безопасности заявляют, что расшифровка невозможна без ключей, которые есть только у злоумышленников, то компании, которые предлагают расшифровать файлы, являются мошенниками либо аффилированы с преступными группами, считают в «Лаборатории Касперского».
Вымогательством с использованием вирусов-шифровальщиков зачастую занимается не сам автор вредоносного ПО, а преступник, купивший модификацию такого софта, с ним жертва и ведет переговоры о стоимости расшифрования документов, объясняют эксперты «Ростелеком-Solar». Случаи, когда посредники вступают в сговор с вирусописателями для разблокировки файлов, не самые частые, однако такая ниша существует.
В 2017 году произошло несколько крупных атак программ-вымогателей — WannaCry, NotPetya и Bad Rabbit. В этом году таких крупных случаев не было, потому что использование подобных вирусов стало более целенаправленным — против компаний и организаций, которые могут заплатить за разблокировку информации большую сумму денег и в краткие сроки, полагают в Digital Security. Профессионализм преступников в этой сфере растет, некоторые из них перешли на таргетированные атаки на бизнес, основная цель которых — парализовать бизнес-процессы компании и потребовать большой выкуп.
По данным Европола, индустрия программ-вымогателей составляет примерно $5 млрд, говорят в Check Point. Вирусы-шифровальщики несложны в написании, но их сложно найти, и они приносят финансовую выгоду создателям, поясняют в Digital Security. Кроме того, злоумышленник без особых технических навыков может купить вредоносное ПО у разработчика и использовать его, добавляют в Check Point. Бизнес-модель в виде посредничества между автором программы вымогателя и жертвой может «послужить новым витком развития индустрии кибервымогателей», считают там. Популярность этой модели будет зависеть от готовности киберпреступников работать с посредниками.