50000 žrtava ransomwarea GandCrab, kriminalci za 2 meseca zaradili 600000 dolara

Opisi virusa, 21.03.2018, 10:00 AM

Početkom meseca, rumunska policija i Europol zaplenili su komandno-kontrolne servere ransomwarea GandCrab, što im je omogućilo da dođu do ključeva za dešifrovanje fajlova žrtava ovog malvera. Međutim, kriminalci koji stoje iza ovog ransomwarea nisu sedeli skrštenih ruku i ubrzo su najavili novu verziju malvera sa sigurnijim komandno-kontrolnim serverom. Oni su održali reč i objavili verziju 2 ransomwarea.

Prema istraživanju Check Pointa, grupa koja stoji iza GandCraba inficirala je više od 50000 žrtava, uglavnom u SAD, Velikoj Britaniji i Skandinaviji. Za dva meseca, koliko je ova kriminalna grupa u biznisu, kriminalci su zaradili impresivnih 600000 dolara.

"GandCrab je najistaknutiji ransomware 2018. Po brojevima, ovaj ransomware je ogroman", kažu iz Check Pointa upoređujući ovaj ransomware sa malverom Cerber. Iz ove firme kažu da uprkos tome što mnogi misle da kriminalci prelaze sa ransomwarea na cryptojacking, to zapravo nije tačno i da je i dalje stopa infekcije ransomwareom vrlo visoka i da je za sajber kriminalce ransomware i dalje lak način da zarade.

Oni koji stoje iza GandCraba žele da njihov malver i dalje bude profitabilan i da budu korak ispred "belih šešira", o čemu govori njihov pristup razvoju malvera.

Ranije verzije ransomwarea bile su prepune grešaka sa stanovišta programera, kažu iz Check Pointa. Istraživači kažu da su autori malvera vrlo marljivi kada je u pitanju rešavanje problema koji se pojavljuju. Oni pregledaju svoj kod i ispravljaju prijavljene bagove u realnom vremenu, ali i one neprijavljene.

Kao i Ceber, i GandCrab se rentira, a njegovi autori nikada nisu direktni učesnici distributivnih kampanja. To im omogućava da se usresrede na razvoj malvera, jer ne moraju da se bave infekcijama i prikupljanjem otkupa. Takav pristup je zaslužan i za uspeh Cerbera.

Fajlovi koji su šifrovani dobijaju ekstenziju .CRAB. Kriminalci koji šire ovaj malver od žrtava traže da plate otkup koji se kreće od 300 do 600 dolara i koji treba platiti kriptovalutom Dash.

Nije sasvim jasno ko stoji iza GandCraba, ali u Check Pointu veruju da je u pitanju ruska hakerska grupa jer ransomware ne napada korisnike koji koriste rusku tastaturu.

Početkom meseca, firma BitDefender je objavila besplatan dekripter. Međutim, iz Check Pointa kažu da autori ransomwarea brzo menjaju malver tako da takvi alati brzo postaju beskorisni.