95% операторов шифровальщиков выводили деньги через обменник BTC-e

95% операторов шифровальщиков выводили деньги через обменник BTC-e

В своем докладе специалисты подвели итоги работы проекта Tracking Ransomware End to End, в ходе которого было изучено поведение 34 семейств вымогателей. Изначально в руках специалистов было 154 227 бинарников, но потом набор данных расширился до 301 588 бинарников (помогла покупка VirusTotal компанией Google).

Эксперты создали специальный скрипт, который анализировал бинарники и извлекал из них данные о любых платежных сайтах или адресах криптовалютных кошельков, которые затем передавали специалистам Chainalysis, чтобы те проследили движение денежных средств, если это возможно. В результате команде удалось собрать внушительную статистическую базу, содержащую данные за последние три с половиной года. Результаты исследования наглядно иллюстрируют развитие вымогательского ПО и позволяют понять, как часто жертвы платят злоумышленникам, как именно это происходит, и что потом случается с этими деньгами.

Пока наиболее "прибыльным" годом для операторов вымогательского ПО остается прошлый, 2016 год. Сумма ежемесячных платежей, поступавших от жертв малвари, в этом году часто превышала отметку в один и даже два миллиона долларов. На графике ниже можно увидеть, что в 2016 году вообще произошел достаточно резкий скачок, который исследователи объясняют появлением шифровальщиков Locky и Cerber. Успех первого – прямая заслуга огромного спамерского ботнета Necurs, а успех второго объясняется тем, что это одно из наиболее простых и доступных RaaS-решений на черном рынке.

По данным специалистов Google, операторы Locky "заработали" на своем детище 7,8 млн долларов, тогда как Cerber принес своим авторам 6,9 млн долларов. На третьей строчке этого рейтинга находится вымогатель CryptoLocker, но разрыв с лидерами велик: разработчики CryptoLocker получили выкупов на сумму 2 млн долларов.

Хакер