Спецпроекты

Хакеры-робингуды ополчились на интернет-мошенников. Их диски шифруют без надежды восстановить

Безопасность Бизнес

Хакеры-вигиланты написали шифровальщик на базе исходного кода другой аналогичной программы и используют его против тех, кого обвиняют в мошенничестве. Насколько правомерно — вопрос открытый.

Атака на мошенников

Хакерская группа CyberWare объявила «крестовый поход» против предполагаемых мошенников и начала атаковать их с помощью шифровальщиков и DDoS-атак. Кто именно является мошенником, решают сами активисты.

В разговоре с редакторами издания Bleeping Computer представители CyberWare заявили, что их основными целями являются компании, мошенничающие с займами. «Жертвы говорят, что предоставят тебе займ, но сначала тебе самому придется им заплатить, а потом ты не получаешь ничего», — заявили активисты.

Описанная ими схема доподлинно напоминает описанную в фильме «Афера по-американски». Пока известно о двух жертвах: первая — это компания GermanLajunenLoan (она же Banwulaina, Zorgolaina, T-laina) и BDFBank, чьи сайты, по данным издания 2-spyware.com, на данный момент лежат из-за DDoS-атак. Всего же хакеры подвергли атакам 20 фирм, которые, по их мнению, занимаются мошенничеством с займами.

Методика активистов

Помимо DDoS-атак хактивисты используют шифровальщик-вайпер собственной разработки — MilkmanVictory. Он распространяется через спиэр-фишинговые письма, в которых содержатся ссылки на исполняемые файлы, закамуфлированные под документы в формате PDF. Сразу после запуска значительная часть файлов на компьютере шифруется, а жертве выводится сообщение следующего содержания. «Привет! Этот компьютер уничтожен с помощью шифровальщика MilkmanVictory, потому что мы знаем, что вы — мошенник! Хакеры CyberWare». Никаких финансовых требований CyberWare не выдвигают.

haker600.jpg
Хакеры-робингуды ополчились на ростовщиков-мошенников

Любопытно, что MilkmanVictory написан на базе скандально известного шифровальщика HiddenTear. Его исходники впервые появились на GitHub; их выложил уважаемый турецкий программист Утку Сен (Utku Sen), отметив, что единственное назначение этой программы — служить образовательным целям. Однако исходный код быстро превратили в эффективный шифровальщик-вымогатель, и его распространение вскоре приобрело эпидемические масштабы.

Позднее исследователи Майкл Гиллеспи (Michael Gillespie) и Фабиан Восар (Fabian Wosar) детально исследовали исходники, нашли слабые места и написали инструмент для дешифровки данных, атакованных HiddenTear. Вероятнее всего, этот инструмент сработает и в случае MilkmanVictory.

«Вигилантизм может вызывать симпатии на эмоциональном уровне, но мотивы “хактивистов” совершенно не обязательно настолько чисты и непорочны, как они хотят их представить, — считает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Речь вполне может идти о банальной войне враждующих кибергруппировок. И даже если речь идет действительно о кибервигилантизме, нет никакой гарантии, что от таких атак не пострадают и невиновные».