Wingy Bullet

Действующий при поддержке целого ряда правоохранительных органов Великобритании исследовательский отдел N8 Policing Research Partnership предложил внести изменения в действующее законодательство страны с целью облегчения процедуры изъятия биткоинов у преступников. Об этом пишет CoinDesk. Опубликованный на прошлой неделе доклад посвящен главным образом обзору криптовалют и тем вызовам, с которыми сталкиваются силовые ведомства, когда сталкиваются с ними. При этом, как признают сами авторы документа, все эти вызовы в первую очередь обусловлены недостатком знаний о криптовалют. Кроме того, доклад предлагает возможное решение этой проблемы, включая запуск широкой образовательной инициативы, а также доступ следователей к специальному программному обеспечению, позволяющему отслеживать транзакции. Однако наиболее примечательным аспектом стало предложение в адрес МВД Великобритании по изменению действующего законодательства страны в части классификации биткоина. По мнению авторов доклада, криптовалюту необходимо приравнять к виду наличных денег, что упростит ее изъятие в ходе следственных действий. Пока, впрочем, остается неясно, последует ли МВД Великобритании данной рекомендации. В прошлом ведомство уже занималось исследованием технологии блокчейн, предложив еще в 2015 году создание собственной цифровой валюты, которая бы ограничивала анонимность и усиливала отслеживаемость транзакций. В апреле 2016 года Хоум-Офис сообщил, что правила по борьбе с отмыванием денег и финансированием терроризма не будут распространяться на провайдеров биткоин-кошельков.

Mamba был одним из первых криптовымогателей, которые шифровали не файлы по отдельности, а сразу весь жесткий диск. Также этот шифровальщик примечателен тем, что он ответственен за весьма масштабную атаку на транспортную систему Сан-Франциско в прошлом ноябре. Некоторое время про «Мамбу» не было слышно, но вчера эксперты Лаборатории Касперского опубликовали отчет, согласно которому новая волна заражений этим шифровальщиком замечена в Бразилии и Саудовской Аравии. Не исключено, что новые атаки Mamba — это продолжение тренда маскировки атак с целью саботажа под заражения шифровальщиками-вымогателями. Начало данному тренду положили Petya и Mischa в 2016 году, а апогея он достиг этим летом, с атаками вайпера ExPetr/NotPetya. Кто стоит за новыми заражениями Mamba пока не известно — это могут быть как спонсируемые спонсируемые государством хакеры, так и обычная киберкриминальная организация. Во вчерашнем докладе исследователи Лаборатории Касперского Хуан-Андрес Герреро-Сааде и Брайан Бартоломью предсказали, что этот тренд продолжится. «Допустим, у кого-то есть необходимость устроить кибератаку с целью саботажа и он собирается замаскировать это под атаку шифровальщика или еще под что-то такое, что потенциально поддается лечению. Это не так уж сильно отличается от того, что группировка Lazarus делала с Sony или с жертвами из Южной Кореи: сначала они вымогали деньги, а потом в любом случае выкладывали похищенные у жертв компрометирующие данные,» — говорит Герреро-Сааде. Изначально о трояне Mamba стало известно в сентябре 2016 года, когда исследователи из Morphus Labs рассказали, что обнаружили его на компьютерах, принадлежащих бразильской энергетической компании с подразделениями в США и Индии. Как только шифровальщик заражает компьютер на Windows, он меняет главную загрузочную запись (MBR) на собственную и шифрует весь жесткий диск, используя легитимную утилиту с открытым кодом под названием DiskCryptor. После этого он выводит сообщение, которое не содержит никаких требований выкупа. Выводится только пара адресов электронной почты и идентификационный номер, который требуется для получения ключа. К сожалению, восстановить файлы самостоятельно, без получения ключа от преступников, не получится. Утилита DiskCryptor использует надежное шифрование, которое не удастся каким-то образом обойти или взломать. Также из отчета Лаборатории Касперского следует, что в ходе атак Mamba на организации в Бразилии И Саудовской Аравии используется еще одна легитимная утилита, PSEXEC — она применяется для запуска зловреда внутри корпоративной сети жертвы. Эта утилита была одним из важнейших компонентов атаки ExPetr, которая, в свою очередь, имела немало общего с более ранними атаками Petya. Атака происходит в два этапа. На первом этапе зловред загружает и устанавливает DiskCryptor. На том же этапе он регистрирует системный сервис с звучащим правдоподобно названием DefragmentService и перезагружает систему. На втором этапе троян меняет загрузчик на собственный, после чего запускается утилита DiskCryptor, файлы шифруются и система снова перез-агружается. В отличие от жертв шифровальщика ExPetr, которые вряд ли когда-либо смогут восстановить зашифрованные данные, в случае Mamba надежда все же есть. «Авторы вайперов не имеют возможности расшифровать файлы на компьютерах жертв. В качестве примера можно вспомнить ExPetr: для шифрования он использует случайно генерируемый ключ для шифрования файлов, однако этот ключ нигде не сохраняется и никуда не передается — создатели трояна не получают этого ключа, поэтому у них нет никакой возможности расшифровать данные,» — говорит Орхан Мамедов, исследователь Лаборатории Касперского. «Поэтому у нас есть все основания называть ExPetr вайпером. В случае Mamba все иначе: ключ выдается трояну в качестве одного из аргументов команды. Это значит, что у преступников этот ключ есть, так что теоретически они могут расшифровать файлы».