Процесс использования целых армий ботнетов для получения «выкупа» в биткоинах за захваченную личную информацию пользователей стало простым и очень распространенным преступлением.
Выступая на этой неделе на конференции «Advance in Financial Technology» в Цюрихе, международная команда, состоящая из исследователей из Австрийского технологического института и провайдера безопасности GoSecure, проверила количество спама в электронной почте и обнаружила, что процесс вымогательства стал быстрее, легче в реализации и очень приносит значительные прибыли хакерам.
Используя общедоступную информацию о взломе данных, исследователи обнаружили, что один экземпляр письма популярного ботнета Necurs запустил более 80 кампаний и 4,3 миллиона электронных писем. Почти во всех случаях преступники на самом деле не располагали компрометирующей информацией о жертвах.
Команда рассказала, что использование ботнета оказалось на удивление прибыльным. Арендуя ботнет за 10'000 долларов в месяц, вымогатели зарабатывали не менее 130'000 долларов. Спам-кампания невероятно проста по сравнению с большинством схем вымогательства, во многом благодаря использованию криптовалют, говорит .
Исследователи ожидают, что вымогательство криптовалюты с использованием рассылок по электронной почте в ближайшем будущем только возрастет. Масара Пакет-Клустон из GoSecure говорит:
Если вы посмотрите на традиционные спам-атаки, то они намного сложнее. Рассылать спам, направленный на вымогательство криптовалюты, гораздо проще и выгодней.
Примеры, представленные в документе, описывают электронное письмо, информирующее жертву о том, что хакер обнародует компрометирующую личную информацию, если не будет предоставлена выплата в биткоинах. Например, в одном письме утверждается, что хакеры осуществляют наблюдение с помощью вредоносных программ:
Привет! Как вы могли заметить, я отправил вам электронное письмо с вашего аккаунта. Это означает, что у меня есть полный доступ к вашей учетной записи. Я наблюдаю за тобой уже несколько месяцев. Дело в том, что вы заразились вредоносным ПО через сайт для взрослых, который вы посетили.
Отслеживание используемых биткоин-адресов и языков, используемых в электронных письмах, позволило исследователям лучше понять, как работают подобные ботнеты. Например, кто-то, кто стоял за ботнетом, требовал с людей некоторых национальностей более высокие выкупы, чем с других, причем для носителей английского языка цифра составляет около 745 долларов США на одного получателя по сравнению с испанцами на самом низком уровне - 249 долларов США.
Ботнет повторно использовал свои биткоин-адреса более 3 миллионов раз, и исследователи предположили, что целью было упростить платежи.
Только 0,135% атак писем-вымогателей можно было отследить в публично проверяемых кошельках на биржах, что свидетельствует об использовании CoinJoins и других мерах для маскировки транзакций перед конвертацией полученных средств в бумажную валюту.
По словам группы, знания о биткоинах и методах отслеживания платежей привели ботнет-кампании к другим криптовалютам, в частности к Litecoin. Необычно, что конфиденциальные монеты, такие как monero и zcash, практически не используются в подобных атаках.
