Спустя почти полтора года после появления в сети, шифровальщик-вымогатель GandCrab завершает свою работу, а также просит всех компаньонов прекратить его распространение. Заполнив пустое место, возникшее после прекращения крупномасштабных атак таких известных вымогателей, как TeslaCrypt, CryptoWall и Spora, GandCrab впервые появился в сети 28 января 2018 года, когда стоявшие за ним лица начали продавать свои услуги на подпольных криминальных сайтах.
С тех пор GandCrab стал одним из самых распространённых вымогателей в сети, и количество его атак пошло на убыль лишь в течение последних нескольких месяцев. И вот, по словам исследователей безопасности Дамиана (Damian) и Дэвида Монтенегро (David Montenegro), которые следили за GandCrab на подпольном форуме по взлому и вредоносным программам Exploit.in, создатели GandCrab объявили о закрытии своего вирусного бизнеса.
На изображениях, предоставленных порталу BleepingComputer Дамианом, мы видим, как создатели вымогателя заявляют, что GandCrab принёс в сумме всем участникам вирусной сети более 2 миллиардов долларов, полученных в качестве выкупов за расшифровку своих данных от жертв шифровальщика, при средней еженедельной прибыли в 2,5 миллиона долларов. Далее хакеры говорят, что лично заработали 150 миллионов долларов, которые обналичили и инвестировали в легальные бизнес-структуры.
В этом объявлении пользователь под ником GandCrab заявил от лица создателей одноименного шифровальщика, что они прекращают распространение своего детища, и попросил всех своих компаньонов, участвующих в проведении атак при помощи данного шифровальщика, также свернуть свою работу в течение 20 дней.
Хакеры также сообщили жертвам их шифровальщика, что оплатить расшифровку необходимую как можно скорее, поскольку ключи, необходимые для этого, будут удалены в конце месяца. Вероятно, что это будет последняя операция хакеров, и можно только понадеяться, что разработчики GandCrab последуют примеру других крупных вымогателей в прошлом и выпустят ключи для расшифровки после окончательного завершения своей деятельности. По крайней мере портал BleepingComputer обратился к разработчикам и попросил их сделать это.
Исторически крупномасштабные атаки вымогателей следуют друг за другом, заполняя освободившуюся нишу сразу, как только другой вымогатель прекращал свою работу. Будет совсем не удивительно, если в ближайшем будущем мы услышим о появлении нового массового вируса-шифровальщика, учитывая, что как отмечает GandCrab: «Мы доказали, что за злыми делами возмездие не приходит».
Хотя создатели GandCrab, скорее всего, и правда заработали много миллионов долларов, утверждение о чистой прибыли в размере 2,5 миллионов долларов в неделю, скорее всего, не соответствуют действительности. Это громкое заявление не удивительно, так как разработчики GrandCrab всегда были шутниками и вовлекали в свои игры исследователей в области безопасности, используя насмешки, шутки и ссылки на организации и исследователей в своём исходном коде. Было очевидно, что разработчики GandCrab следили за специалистами по безопасности и получали большое удовольствие от взаимных подколов.
Так, в своём первом выпуске GandCrab использовал доменные имена для своих управляющих серверов, основанные на именах организаций и сайтов, известных своими исследованиями программ вымогателей, например: bleepingcomputer.bit, nomoreransom.bit, esetnod32.bit, emsisoft.bit
Хакеры также часто передавали привет исследователям, которые анализировали код их шифровальщика.
Hello, #GandCrab 🙂 🦀🧐😊🤪 pic.twitter.com/ICHixxoIkI
— Marcelo Rivero (@MarceloRivero) April 17, 2018
Но это не всегда были только развлечения и игры, у создателей GandCrab также была и мстительная сторона. После того как AhnLab выпустила приложение для защиты от GandCrab, разработчики вымогателя связались с BleepingComputer, чтобы сообщить им, что они опубликовали в общий доступ уязвимость нулевого дня для антивируса AhnLab v3 Lite.
Выходки и успех хакеров, создавших GandCrab, не остались незамеченными для других участников Exploit.in, которые явно опечалились, что создатели известного вымогателя уходят из бизнеса.
Главное, не стоит забывать, что хоть разные шутки GandCrab и были достаточно забавными, вымогатель в конечном счёте причинил много боли и страданий большему количеству людей, которые потеряли свои данные, работу и, возможно, даже бизнес. Прекращение деятельности GandCrab — это определённо хорошая новость, но, очень жаль, что, как и отметили хакеры, заслуженное возмездие их не настигло.