Эксперты из компании Imperva провели анализ работы операторов шифровальщика CryptoWall. Они проследили лишь за одной из многих вредоносных кампаний. Специалисты в очередной раз подтвердили, что с помощью этой вымогательской программы злоумышленники зарабатывают миллионы долларов.
Специалисты проанализировали три экземпляра CryptoWall 3.0, которые были найдены в системах, принадлежащих клиентам Imperva. Вредоносная программа была обнаружена во вложениях спам-писем в виде ZIP-архивов или файлов .html и .pdf.
CryptoWall 3.0 использует для каждого пользователя индивидуальное требование выкупа, которое базируется на имени хоста, вследствие чего специалисты могли понаблюдать за работой вредоносной программы. Путем смены имени хоста атакуемого компьютера эксперты извлекли из вредоносной программы все биткоин-адреса, которые были ей известны.
В рзультате экспертами была создана карта биткоин-кошельков, на которые жертвы шифровальщика переводили выкуп. Специалисты без труда выявили денежные переводы, связанные с работой вымогательской программы, поскольку сумма выкупа обычно колеблется в диапазоне 500-700 долларов. В итоге эксперты подсчитали примерные объемы прибыли злоумышленников.
Организаторы данной киберкампании применяли 140 различных биткоин-кошельков. Исследователи зафиксировали 670 транзакций, классифицированных как перевод выкупа киберпреступникам. Эксперты наблюдали за активностью хакерской группы с мая по июль 2015 года. За этот период времени жертвы перечислили злоумышленникам 1217 биткоинов (337607 долларов). Таким образом, ежегодно злоумышленники зарабатывают около 1300000 долларов.