Новый локер общается с жертвами через blockchain

Создатели локеров продолжают повышать экономическую эффективность своих зловредов. Стало известно, что разработчики вымогателей стали использовать blockchain для доставки ключа после получения выкупа от жертвы: они вписывают ключ в область метаданных биткоина.

Благодаря использованию этой техники злоумышленникам больше не надо создавать и поддерживать веб-сайт и соответствующую инфраструктуру. Впервые метод был замечен в недавно появившейся версии CTB-Locker, которая парализует работу веб-сайтов.

В феврале аналитики обнаружили новую итерацию CTB-Locker; в отличие от прежних версий зловреда, которые были нацелены на компьютеры под Windows, PHP-вариация CTB-Locker разработана для поражения веб-сайтов. По заявлениям экспертов, она отличается весьма любопытными новшествами.

До настоящего момента для расшифровки данных PHP-вариация CTB-Locker использовала скрипт access.php, который размещался на нескольких взломанных сайтах и служил для доставки ключа после выплаты выкупа. Однако это метод не отличался надежностью: в любой момент владельцы инфицированных сайтов могли вычислить зловреда, восстановить нормальную работу сайта и таким образом усложнить задачу преступникам. Чтобы решить эту проблему, злоумышленники придумали новый метод: для доставки ключа жертве можно использовать сам биткоин.

Эксперты из Sucuri описывают метод следующим образом. В протоколе биткоина с 2014 года есть поле OP_RETURN, оно может содержать небольшое количество произвольного текста, которым можно сопроводить транзакцию, – как это возможно, например, при почтовом переводе. При каждом случае заражения CTB-Locker генерирует новый, уникальный номер биткоин-кошелька, на который жертва перечисляет выкуп. В ответ преступники инициируют фиктивную транзакцию на тот же кошелек, включив ключ дешифровки в поле OP_RETURN. И, хотя система не валидирует транзакцию, последняя отображается в блокчейне, и ее можно проверить на сайтах вроде blockexplorer.com и blockchain.info. Скрипт CTB-Locker затем задействует API blockexlorer.com для проверки истории транзакций в каждом кошельке и «вытаскивает» ключ дешифровки.