Информационная безопасность

Petya и Mischa. Исследование: как зарабатывают на покупке вирусов

Threat Intelligence Team, 29 ноября 2016

Вирусы становятся товаром в Сети. Создаются целые бренды и применяются маркетинговые инструменты для распространения таких программ. Как работает этот бизнес?

Обновлено (30.06.2017): последние новости киберэпидемии вируса-вымогателя Petya вы можете прочитать здесь.

Распространение вредоносных файлов давно перестало быть хобби — сейчас это прибыльный бизнес в даркнете: хакеры создают вредоносные программы с целью последующей перепродажи.

В этом году много шума наделали криптовымогатели Petya и его младший брат Misсha. Этот вредоносный дуэт шифрует жесткий диск на компьютерах пользователей и вымогает у невинных жертв тысячи долларов в обмен на доступ к их компьютерам и файлам. Подробный разбор данного вредоносного ПО можно прочитать здесь.

Интересно в этой истории то, что авторы этих вирусов-шифровальщиков разработали действенную маркетинговую стратегию для продвижения Petya и Misсha в сети. Они создали бренд, а также партнерскую программу, благодаря которой даже непрофессионалы могут легко распространять программы-вымогатели. Мы решили проанализировать, как авторы вредоносных программ Petya и Misсha продают их в теневом интернете.

Группа хакеров, стоящая за разработкой Petya и Misсha, называет себя Janus Cybercrime Solutions™, и похоже, они большие поклонники фильма о Джеймсе Бонде «Золотой глаз». Как и многие другие киберпреступники в даркнете, Janus пришел в бизнес, чтобы не просто зарабатывать, но и стать одним из крупных игроков на этом рынке. Вредоносное ПО становится все более изощренным, как и инструменты для его продвижения.

Создание бренда вредоносных программ

Как многие компании, Janus Cybercrime Solutions™ использует свой собственный набор трюков, чтобы повысить узнаваемость бренда.  Чтобы выделиться среди тысячи других мошенников в даркнете, для Petya выбрали свой фирменный цвет — красный.

Как зарабатывают на распространении вирусов

 

Это изображение черепа появляется на компьютере, зараженном вирусом Petya. Череп мигает каждую секунду, меняя цвета.

Вирусы Petya и Mischa

При нажатии клавиши появляется такой красный экран — с подробной инструкцией, как заплатить выкуп вымогателям. Но и здесь не все так просто. При заражении вирусом Petya нельзя скопировать и вставить код для расшифровки, так как сообщение появляется на этапе загрузки ПК, до загрузки операционной системы Windows. Это означает, что владелец компьютера должен повторно ввести более 90 символов ключа дешифрования вручную!

Повышение узнаваемости бренда

Компании время от времени делают ребрендинг, чтобы изменить восприятие и мнение общественности о ней. После первой версии Petya Janus решился также на небольшое изменение фирменного стиля — красному цвету он предпочел зеленый.

Как зарабатывают на покупке вирусов

Выбор правильного видеоряда

Чтобы полностью забрендировать свой продукт, Janus создал логотипы, легко ассоциируемые с зеленым черепом — визитной карточкой хакеров. Судя по дизайну логотипов, кажется, что Janus хочет, чтобы все знали, где они находятся и что они делают. Использование кириллицы, серпа и молота явно указывают на родную страну киберпреступников — но так ли это на самом деле?

Janus, Petya и Mischa

Партнерский маркетинг

Для продвижения вирусов Petya и Misсha их авторы также используют партнерскую сеть. Janus Cybercrime Solutions™ создали простой веб-интерфейс, где партнеры могут просмотреть последние версии вирусов, узнать размер выкупа, расшифровать код, создать биткоин-кошельки и ключи для платежной системы. Платежная система Janus была создана очень профессионально по сравнению с другими предложениями в даркнете. У них даже есть служба поддержки, которая готова ответить на любые вопросы.

Janus развивает свой сервис, удерживая процент от прибыли партнеров. Если, например, вы зарабатываете 125 биткоинов с помощью Petya, то получаете от Janus 85% от прибыли, что в настоящее время более 60 000$.

Киберпреступность сейчас можно сравнить с торговлей наркотиками в реальной жизни. Не нужно быть химиком, чтобы заниматься наркобизнесом; можно стать дилером, присоединившись к банде. Так и с преступлениями в Интернете. Если раньше хакеры использовали только собственный код, то теперь вам не нужно знать, как создавать вредоносные программы, чтобы распространять их. Достаточно просто купить вредоносное ПО в даркнете.

Как зарабатывают на покупке вирусов

Беспокойство вызывает тот факт, что, судя по обсуждениям на сайтах Janus, «кибердилеры» распространяют вредоносное ПО в компаниях, где сами же и работают.

Как зарабатывают на покупке вирусов

Не стоит забывать о социальных сетях

Сегодня нельзя назвать маркетинг полноценным без продвижения бренда в социальных сетях — и киберпреступники тоже знают об этом. Janus не только активно продвигает свою продукцию в Twitter, но и регулярно комментирует то, что эксперты по безопасности говорят о Petya и Misha на конференциях.

СКАЧАТЬ БЕСПЛАТНЫЙ АНТИВИРУС

Не поддавайтесь соблазну

Активная маркетинговая кампания и привлекательные условия для дилеров вредоносного ПО выглядят заманчиво для пользователей. Однако мы настоятельно не рекомендуем никому становиться «кибердилером». В то время как распространение вредоносных программ кажется легким способом заработать большие деньги, использование вредоносного ПО Petya и Misсha незаконно и является преступлением, которое карается по всей строгости уголовного кодекса.

Следите за нашими новостями в социальных сетях ВКонтакте, Одноклассники, Facebook и Twitter


При написании текста были использованы материалы портала GetMobian.

Статьи по теме

Информационная безопасность

Исследование Avast: российских пользователей не пугают угрозы скрытого майнинга

Почти половина россиян не боится незаконного криптомайнинга, несмотря его на высокую угрозу. Треть из них ошибочно полагает, что они не могут стать жертвами вирусов для добычи криптовалют. Результаты опроса Avast.

31 июля 2018 мин на прочтение
Информационная безопасность

Исследование Avast: 50% россиян не меняют заводской пароль роутеров

Роутер обеспечивает нам доступ в интернет. В то же время он может стать лазейкой к данным на подключенных устройствах, ведь часто пользователи недооценивают важность обновления прошивки и смены заводских паролей, не говоря о других уязвимостях и способах атак.

6 июля 2018 мин на прочтение
Информационная безопасность

В сети оказались доступны личные Google.Docs файлы пользователей

В поисковой выдаче Яндекса оказались доступны личные и корпоративные файлы, загруженные в облачный сервис Google.Docs. Что нашли пользователи, и как защитить свои документы?

5 июля 2018 мин на прочтение