Владельцы крупных хакерских форумов задумались о запрете на продажу шифровальщиков-вымогателей. Эти вредоносные программы наносят ущерб не только жертвам, но и самим киберпреступникам и среди последних уже считаются «низостью».
Слишком много шума
Администраторы нескольких русскоязычных хакерских форумов, как общедоступных, так и скрытых в даркнете, активно обсуждают, стоит и и дальше разрешать у себя продажу шифровальщиков-вымогателей. Такие дискуссии, как утверждают эксперты компаний Anomali и Flashpoint, начались в 2016 г. и активизируются заново после каждого крупного инцидента.
В частности, особое внимание администраторов этих ресурсов привлекли атака на Пресвитерианскую больницу в Голливуде, выплатившей вымогателям около 3,6 млн. долларов, и атак с использованием WannaCry и NotPetya.
Как отметили Трэвис Фаррэл (Travis Farrell), директор по стратегии безопасности в Anomali, и Виталий Кремез, директор по исследованиям Flashpoint, в последнее время администраторы форумов высказыают массу негативных комментариев в адрес разработчиков вредоносного ПО, продающих свои поделки через их ресурсы, сообщает safe.cnews.ru.
Причин для недовольства обыкновенно высказывается четыре: шифровальщики привлекают слишком много внимания, шифровальщики мешают другим типам киберпреступлений, шифровальщики могут стать причиной для более жестких мер против киберподполья со стороны властей и, наконец, шифровальщики можно слишком легко обратить против России.
Почти половина пользователей хакерских форумов высказываются за запрет троянов-шифровальщиков
Большая часть хакерских форумов располагается в странах бывшего СССР, где власти склонны игнорировать киберпреступность пока она нацелена на иностранцев.
Коммерческие интересы преступников тоже страдают
Некоторые из тех, кто выступил против шифровальщиков, заявили, что это «стрельба по собственным ногам». Атаки шифровальщиков производят много шума, после них коммерческие компании вводят новые системы безопасности и блокируют доступ к сетям, которые раньше были уязвимы, таким образом, препятствуя более скрытным действиям других киберпреступников.
Вдобавок, если шифровальщики используют методы заражения, позаимствованные у менее «шумных» вредоносных программ, то соответствующие уязвимости очень быстро закрываются.
«От шифровальщиков в известной степени страдает и остальной киберпреступный бизнес, — отмечает Валерий Тюхменев, эксперт по безопасности компании SEC Consult Services. — Но очевидно, что это один из самых доходных видов киберпреступности, так что ожидать, что он куда-то денется в обозримом будущем, бессмысленно».
Действительно, единодушия в киберподполье по этому вопросу не наблюдается. Лишь 48,5% пользователей подпольных форумов высказались за то, чтобы запретить продажу шифровальщиков. Да и сами администраторы получают свою долю с продаж, так что отказываться от дохода им будет нелегко.
Однако Виталий Кремез полагает, что администраторы киберпреступных форумов тем не менее вполне могут осложнить жизнь продавцам шифровальщиков.
«Многие киберзлоумышленники уже считают шифровальщики-вымогатели «низкой» формой киберпреступности, и этот взгляд среди киберподполья, скорее всего, сохранится, — считает Кремез. — И поскольку WannaCry и Petya затронули многих русских пользователей, подобные атаки в дальнейшем могут сподвигнуть администраторов ввести более жесткие санкции за нарушение правила не атаковать Россию вовсе».
Это будет уже не первый раз, когда крупные инциденты вызывают негативную реакцию в киберподполье. Например, после DDoS-атак с использованием ботнета Mirai, случившихся в прошлом году, крупнейшая в мире хакерская площадка HackForums запретила продажу у себя инструментов для организации таких атак.