«Гении дешифровки» из России оказались в сговоре с вымогателями-шифровальщиками

RSA-1024? Расшифровали? Серьезно? Российская компания Dr. Shifro, которая утверждала, что ееспециалисты способны помочь расшифровать данные после атак любых шифровальщиков-вымогателей,как оказалось, вела мошенническую деятельность. Фактически, она просто покупалау операторов шифровальщиков ключи «со скидкой», взимая с клиентов весьмакруглые суммы. Эксперты отечественной ИБ-компании Check Point,исследовавшие новейшую разновидность шифровальщика Dharma, заподозрилинеладное, когда наткнулись на сайт этой никому ранее не известной фирмы,рекламировавшей восстановление файлов после атак Dharma, Bomber, Cryakl и ряд других. Дело в том, что Dharma использует ассиметричное шифрованиепо алгоритму RSA-1024. Производительность современного оборудования в теориипозволяет декодировать данные, зашифрованные с помощью этого алгоритма, но дляэтого потребуются годы, а то и десятилетия. Однако экспертам Check Point удалось каким-то образомознакомиться с перепиской между Dr. Shifro и одним из клиентов, и выяснить, чтомежду отправкой зашифрованных файлов и их расшифровкой прошло всего два часа. «Дешифровщик» выкупал приватные ключи у операторов шифровальщиков В то, что Dr. Shifro действительно способна победитьRSA-1024, эксперты не поверили и предположили, что дешифровщик в реальностиявляется чем-то вроде посредника между операторами шифровальщика и их жертвами. «Такой быстрый ответ мог означать две вещи: либо у Dr.Shifro уже были приватные RSA-ключи для данного случая заражений, либо что он(Sic!) постоянно общается с оператором шифровальщика и получает их», — написалив своем отчете эксперты Check Point. Ловушка с капканом Чтобы проверить теорию, в Check Point организоваливиртуозную ловушку. Несколько файлов были зашифрованы с помощью того жеалгоритма, которым пользуется Dharma, с использованием свежесгенерированногопубличного ключа. Кроме того, эксперты создали почтовый ящик, якобыпринадлежащий оператору шифровальщика, и встроили его в наименованиязашифрованных файлов. А затем отправили это все в Dr. Shifro с просьбой помочь. На два дня установилась тишина. Затем на фальшивый адреспришло письмо с просьбой предоставить ключ дешифрования и предложением оплаты вбиткоинах. Только эксперты Check Point и люди, стоящие за Dr. Shifro, зналиэтот адрес. В ходе дальнейшей переписки между «оператором шифровальщика»и Dr Shifro последний признал, что является посредником междукиберзлоумышленниками и жертвами шифровальщика и с 2015 г. регулярно выкупаетключи шифрования, не задавая вопросов. Впрочем, Dr. Shifro запросил скидку.Мнимые вымогатели требовали 0,2 биткоина, а Dr. Shifro попросил скинуть цену до0,15 биткоина. Эксперты Check Point на этом прекратили коммуникацию от лицавымогателей, а затем от лица пострадавших запросили новости. И получили ответ: «Мысмогли расшифровать ваши файлы. Стоимость инструмента для расшифровки составляет150 тыс. руб. + 5 тыс. руб. за выезд специалиста...». По подсчетам CheckPoint, в случае выплаты этой «премии», Dr.Shifro получил бы примерно на $1 тыс. больше суммы, которую изначально требовалимнимые вымогатели. Без явного криминала В дальнейшем эксперты Check Point смогли вычислить личностьчеловека, создавшего Dr. Shifro: как ни странно, он с готовностью выслал сканысвоих подлинных документов перед подписанием договоренности. При этом электронныйадрес на сайте Dr. Shifro использовался в нескольких аккаунтах в соцсетях, такчто в итоге экспертам из Check Point удалось вычислить его настоящую страницу во«Вконтакте». Эксперты отметили, что, хотя деятельность Dr. Shifroявляется весьма неэтичной, строго говоря, ее трудно назвать незаконной (несчитая недобросовестной рекламы). Проблема в том, что подобные вещи могуттолько дополнительно повысить и без того высокую привлекательность шифровальщиковдля киберкриминала: люди и организации охотнее заплатят те же деньги «расшифровщикам»,даже мнимым, чем выкуп злоумышленникам. Характерно, что Dr. Web, например, уже идентифицирует сайтDr. Shifro как потенциально опасный. «По-видимому, создатель этого бизнеса расчитывает на то, чтожертвы не будут пытаться выяснять текущий курс биткоина и считать, сколько онипотеряют при прямой выплате выкупа, — говорит Олег Галушкин, директор по информационной безопасности компании SECConsult Services. — В результате “посредник” получает существенную комиссию скаждой такой операции, особенно, если ему удается выбить скидку». Ссылка на источник