На прошедшей на этой неделе в Цюрихе конференции Advance in Financial Technology команда, состоящая из исследователей Австрийского технологического института и экспертов поставщика услуг по обеспечению безопасности GoSecure, продемонстрировала примеры таких писем и рассказала, что процесс вымогательства обычно проходит легко и оказывается очень прибыльным.
Используя общедоступную информацию о взломе данных, исследователи обнаружили, что один экземпляр популярного ботнета Necurs запустил более 80 кампаний и разослал 4.3 миллиона электронных писем. Эксперты изучили эти письма и обнаружили, что почти во всех случаях преступники на самом деле не располагали компрометирующей информацией о жертвах.
Исследователи рассказали, что ботнет был на удивление прибыльным – арендуя его за $10 000 в месяц, вымогатели зарабатывали не менее $130 000. Масара Паке-Клустон (Masarah Paquet-Clouston) из GoSecure отметил, что такие кампании невероятно просты по сравнению с большинством других схем вымогательства, во многом благодаря использованию криптовалют.
«Если вы посмотрите на традиционные рассылки спама, то увидите, что там схемы получения дохода гораздо сложнее. Однако с криптовалютами вымогательства стали проще», – сказал Паке-Клустон.
Примеры, представленные исследователями, описывают электронные письма, информирующие жертву о том, что хакер раскроет компрометирующую личную информацию, если жертва своевременно не выплатит выкуп в криптовалютах. Например, в одном письме утверждается, что хакеры осуществляли наблюдение за компьютером жертвы с помощью вредоносных программ:
«Привет! Как вы могли заметить, я отправил вам электронное письмо с вашего аккаунта. Это означает, что у меня есть полный доступ к вашей учетной записи. Я наблюдаю за вами уже несколько месяцев. Дело в том, что вы заразились вредоносным ПО через сайт для взрослых, который вы посетили».
Отслеживание адресов биткоина и языков, используемых в электронных письмах, позволило исследователям лучше понять, как работают ботнеты. Например, мошенники взимали с представителей некоторых национальностей более высокие выкупы. Причем размер выкупа с носителей английского языка в среднем составлял около $745 по сравнению с испаноязычными жертвами, с которых в среднем требовали около $249.
Ботнет повторно использовал адреса Биткоина более 3 миллионов раз, и исследователи предположили, что это делалось с целью упростить платежи. Только 0.135% полученных преступниками биткоинов можно было отследить на публично проверяемых кошельках на биржах, что свидетельствует об использовании CoinJoins и других способах маскировки транзакций перед выводом средств в фиатные валюты.
По словам исследователей, наряду с биткоином вымогатели также зачастую используют лайткоин. Удивительно, но такие конфиденциальные криптовалюты как Monero и Zcash используются мошенниками гораздо реже.
Вымогательства с участием криптовалют уже давно пользуются у мошенников популярностью. Обычно преступники используют вирусы-шифровальщики для атаки на компьютеры жертвы, а затем требуют выкуп в криптовалютах для расшифровки файлов. Летом этого года небольшой американский город Лейк Сити подвергся атаке вируса-шифровальщика, в результате чего властям пришлось перевести вымогателям 42 BTC.