У Білорусі затримали розповсюджувача програм-вимагачів GandCrab

В прес-реліз минулого тижня міністр внутрішніх справ Білорусі оголосив про арешт 31-річного чоловіка за звинуваченням у розповсюдженні програми-вимагача GandCrab.

Чоловіка, ім'я якого не розголошується, заарештували в Гомелі, невеликому місті на південному сході Білорусі, на перетині російсько-українського кордону.

Влада заявила, що чоловік раніше не був судимий до свого арешту, але зареєструвався на хакерському форумі, щоб стати партнером операції з вимагачами GandCrab.

Він нібито орендував доступ до веб-панелі, де змінював налаштування, щоб отримати власну версію Програма-вимагач GandCrab, яку він згодом надсилатиме як міновані файли іншим користувачам Інтернету електронною поштою спам.

Жертви, які відкривали файли, заражалися, і їхні файли шифрувалися, їм потрібно було заплатити викуп, щоб отримати програму для розшифровки та відновити файли.

Підозрюваний зробив понад 1000 жертв

Білоруські чиновники заявили, що підозрюваний заразив понад 1000 комп’ютерів, будучи філією GandCrab (також відомої як «дистриб’ютор»). Від кожної жертви підозрюваний вимагав близько 1200 доларів у біткойнах, хоча офіційні особи не сказали, скільки заплатили.

Заступник начальника управління боротьби зі злочинністю у сфері високих технологій МВС Володимир Зайцев повідомив, що підозрюваний інфікований. постраждалих у більш ніж 100 країнах, більшість із яких розташовані в Індії, США, Україні, Великобританії, Німеччині, Франції, Італії та Росія.

Офіційні особи заявили, що отримали допомогу від правоохоронних органів Великої Британії та Румунії у відстеженні та ідентифікації хакера.

Влада також заявила, що підозрюваний був безробітним і розповсюджував криптомайнерів і писав код для інших користувачів на хакерських форумах.

Автор GandCrab все ще на волі

Програма-вимагач GandCrab наразі не існує. Операція, відома як RaaS (Ransomware-as-a-Service), запущена на початку 2018 року, мала десятки афілійованих осіб і закрито в червні 2019 року.

У дописі на хакерському форумі команда GandCrab похвалилася тим, що заробила понад 2 мільярди доларів на своїй схемі – твердження, яке дослідники вважали перебільшенням, оскільки воно ніколи не могло підтвердитися.

Під капотом програмне забезпечення-вимагач було не надто добре зібране і дозволило дослідникам безпеки кілька разів випускати безкоштовні утиліти для дешифрування [1, 2, 3, 4]. Ближче до червня 2019 року служба втрачала афілійованих осіб, оскільки дистриб’ютори перейшли на інші пропозиції RaaS, які мали сильнішу пропозицію та отримували меншу частину прибутку.

Протягом останніх днів філії GandCrab експериментували з націлювання на керованих постачальників послуг або Сервери MySQL для більш цілеспрямованих вторгнень. Сьогодні багато дослідників безпеки вважають, що автори GandCrab створили нове програмне забезпечення-вимагач Sodinokibi (REvil).

Білоруська влада заявила, що GandCrab зробив понад 54 000 жертв у всьому світі, у тому числі 156 у їхній країні.

Автори програми-вимагача GandCrab досі невідомі в очах громадськості та на свободі.