CTB-Locker и блокчейн

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,003
Баллы
893
CTB-Locker: Использование блокчейнов для передачи ключей дешифрования

Авторы шифровальщиков-вымогателей постоянно ищут новые методы, чтобы сделать свой вымогательский бизнес более эффективным. Недавно исследователи обнаружили новый метод, который киберпреступники используют для доставки ключей расшифровки — это блокчейны (blockchains). Они представляют собой цепочки проверенных операций, используемых в системе Bitcoin, для передачи ключей шифрования. Блокчейны публичны и могут быть отслежены и просмотрены кем-либо через специализированные сервисы. Например, здесь.

Операторы CTB-Locker пользуются функцией, введенной в 2014 году, когда протокол Bitcoin стал передавать небольшие блоки произвольного текста, введёные в поле OP_RETURN. Операторы шифровальщиков-вымогателей могут создавать новый Bitcoin кошелек с уникальным адресом для каждого зашифрованного веб-сайта и в вымогательском сообщении указывают ссылку на страницу с требованием выкупа. Когда жертва платит выкуп, вымогатели проверяют переводимую сумму и блокчейн в кошельке дополняется новой транзакцией, а в поле OP_RETURN показывается ключ дешифрования.

Сделка OP_RETURN проверяется и распространяется через распределённые узлы системы Bitcoin, и становится видимым в услугах, которые предоставляют информацию о блокчейнах. Потому киберпреступники советуют пострадавшим отслеживать свои сделки на сайте blockhain.info. С этим можно согласиться, передача ключей для восстановления зашифрованных файлов в транзакциях Bitcoin действительно выглядит надёжнее, чем отправка через сеть заражённых сайтов-посредников, которые в любой момент могут исчезнуть.

Но с другой стороны, даже преимущества новой технологии не являются гарантией успешного получения ключа дешифрования. Остается риск того, что хакеры-вымогатели могут передумать и скрыться с полученной от вас суммой.

blockchain-bitcoin-technology1.png

Рис.1. Схема работы блокчейн (реконструкция SNS-amigo)

Кратко о CTB-Locker for Websites
Криптовымогатель CTB-Locker для вебсайтов появился пару месяцев назад с акцентом на шифровании файлов на сайтах, но его промысел не был столь успешным, как хотели бы авторы хотели. Вероятно ни один владелец вебсайта, пострадавшего от этого типа вымогателей, не заплатил выкуп, потому сумма выкупа сократилась с 0,8 до 0,4 BTC. В отличие от CTB-Locker-а для настольных компьютеров, появившегося еще в 2014 году, CTB-Locker для вебсайтов ориентирован на серверы, на которых расположены вебсайты клиентов.
CTB-Locker-February.png
Рис.2. Требование выкупа CTB-Locker for Websites

 
Сверху Снизу