Когда приходит Blackmail: история одного сообщения.

Авторы: Исследуя конкурентов, Schwarz_Osint, Чеширский кот

В одном из IT-сообществ было опубликовано интересное сообщение. Владелец интернет-магазина витаминов и БАД жаловался, что ему кто-то угрожает через форму обратной связи. Сообщение содержало информацию о том, что база данных клиентов магазина была украдена и что данные будут слиты в сеть, если владелец магазина не заплатит выкуп. Человека волновал вопрос: "Стоит ли доверять угрозам?".

На просьбу о помощи откликнулись ребята из инфобеза и трое осинтеров из "Северной Пальмиры". Безопасники проверяли сайт на наличие возможных уязвимостей, а мы, в свою очередь, решили исследовать материалы и попытаться установить автора blackmail.

Что же, перейдем к анализу файлов.

В графе "Имя" отправитель указал "Pearline", возможно, это nickname. Телефона, естественно, нет. Адрес электронной почты "[email protected]" интересен тем, что домен "@dafnir" отсылает нас к некоему обменнику, который предлагает обмен фиатных валют на стейблкоин DAI. К обменнику тоже есть вопросы, но мы не об этом.

С первых слов становится понятно, что мы имеем дело с профессионалом. Если серьезно, то текст угрозы явно был переведен с иностранного языка. Примечательно, что отправитель говорит от лица "команды".

Угрозы достаточно стандартные: продажа базы, распространение негатива среди клиентов и партнеров. Креатив проявляется в последнем абзаце.

В тексте фигурирует биткоин-адрес и указания, что нужно произвести оплату в течении 5 дней.

В целом по тексту угрозы у нас возникли такие мысли: текст явно типовой, значит атака, если она была, не целевая, а, скорее, массовая т.е. направленная на распространенную уязвимость на множестве ресурсов, что звучит логично, учитывая, что мы говорим об интернет-магазине. Угрозы стандартные, не персонализированные, без подробностей. Отправитель говорит от лица группы, что создает образ того, что на сайт напала целая группировка. Отправитель не заинтересован в обратной связи.

Баланс адреса оказался пустым. При проверке репутации адреса был найден репорт на Bitcoin Abuse. Описание тоже самое: перешли это письмо, сайт был взломан и т.д. Примечательно, что текст угрозы написан уже на немецком языке.

Если осуществить поиск по упоминаниям данного биткоин-адреса на других сайтах в интернете, то мы найдем два упоминания:

• на сайте польской киберполиции указано, что этот биткойн-адрес использовался киберпреступниками в связи с использованием программ-вымогателей;

• в комментариях на немецком сайте по продаже медицинского оборудования был размещен аналогичный текст угрозы с указанием того же биткоин-адреса, но уже на английском языке, в части случаев буква "о", заменяется на цифру "0" - возможно этим был осложнен перевод угрозы на русский язык.

На основе текста угроз на английском и русском языках мы осуществили поиск и нашли довольно много сообщений на различных сайтах, содержащих аналогичный текст угроз. Изучив данные сообщения мы собрали биткоин-адреса и произвели их анализ. Большинство из них были пустые, на нескольких были транзакции на сумму 1,5-2$. Список найденных адресов для дальнейшего исследования энтузиастами мы выложили в конце статьи.

Хочется обратить внимание на отдельный случай, когда владелец сайта, похоже, заплатил. Та же самая угроза, но с отличительной чертой - теперь биткоин-адрес разделен на 2 части. Предположительно, это делается для того, чтобы сократить количество ресурсов со 100% совпадением искомого адреса в тексте страницы.

В базе Bitcoin Abuse на данный адрес написано 39 репортов, в основном они относятся к теме blackmail, scam, ransomware. Через обозреватель транзакций видно, что на данный адрес (-n6wk6jt2) кто-то направил 0.14 btc с адреса (-KP6sc4F), что соответствует сумме выкупа, обозначенной в письме. Далее сумма целиком пересылается на адрес (-1dnijoUg), после чего, несколько раз также целиком переводится на другие кошельки и в итоге дробится на части, что напоминает движение средств в "миксере" транзакций. Предположительно, адрес, с которого направлялась сумма выкупа (-KP6sc4F) принадлежит неустановленному обменнику. В пользу этого говорит отправка 2-м адресатам сумм одной транзакцией (обычно так делают обменники, чтобы сэкономить на комиссиях), и высокая репутация адреса (-KP6sc4F).

На основе данных ресурса Antinalysis (Clearnet / Tor), использующего алгоритмы машинного обучения для установления ассоциаций между адресами в цепочках блоков (шаблонов потока транзакций), удалось выяснить, что данный адрес ассоциирован с адресами неизвестного миксера, несколькими взломами (упоминается группировка lazarus), обменниками (в т.ч. Binance) и с использованием программы-вымогателя – Phobos. Мы также нашли статью на Хабре, где утверждается, что Phobos зашифровал несколько важных польских организаций. Ранее мы уже видели упоминание одного из биткоин-адресов на сайте польской киберполиции.

Данные факты косвенно подтверждают версию о том, что интернет-магазин витаминов и БАД, с которого мы начали исследование, действительно спамит некая группировка. Однако многие биткоин-адреса так и остались без пополнения, что означает, что угрозы были проигнорированы. Например, владелец форума "Настольный теннис СПб" проигнорировал угрозу и взлома не произошло.

Случай с форумом не только подтверждает, что угрозы не всегда носят серьезный характер, но и доказывает, что сообщения с одинаковым текстом угроз, но разными биткоин-адресами отправлены одним и тем же лицом, поскольку IP-адрес в сообщении, отправленном админу форума "Настольный теннис СПБ", идентичен IP-адресу, с которого оставляли угрозу интернет-магазину витаминов и БАД.

По данным сервиса "WhoIS" IP-адрес географически относится к Нидерландам, в расшифровке мы можем найти геолокацию.

Учитывая ранее полученную информацию, маловероятно, что геолокация выдаст местонахождение отправителя blackmail. По данным сервиса Criminal IP данный адрес идентифицирован как адрес, использующий сертификат VPN-сервиса Private Internet Access. Данный VPN-сервис обычно используется на территории США, компания Internet Access зарегистрирована в Лос-Анджелесе, что может говорить о том, что отправитель blackmail либо находится на территории США, либо дополнительно путает следы.

Данный IP адрес был замечен в рассылке большого количества спама. Анализируя записи на CleanTalk, мы обнаружили еще одну интересную деталь. В некоторых письмах, отправленных по e-mail, в поле "получатель" фигурировал файл %spinfile-c:/10k-domains-emails.txt%, что также подтверждает массовую рассылку угроз (исходя из названия). Дополнительно, мы проверили IP-адрес на попадания в HoneyPot с помощью сервиса projecthoneypot.org. Оказалось, что IP посещал HoneyPot, но не предпринял никаких негативных действий. При этом сервис записал характеристики User Agent (идентификатора браузера), видно, что характеристики меняются со временем, что является признаком подмены цифрового отпечатка устройства.

Что мы имеем в итоге:

• Отправители угроз не заинтересованы в обратной связи и явно «не русские». Текст угрозы – типовой, рассылался многим адресатам, в зависимости от получателя угроз менялся язык сообщения и указанный для пополнения биткоин-адрес.
• Указанный в угрозе интернет-магазину витаминов и БАД биткоин-адрес имеет нулевой баланс, но уже ранее упоминался в письмах с угрозами и включен в базу Bitcoin Abuse с пометками blackmail и скам.
• Другие биткоин-адреса, также упоминавшийся в аналогичных по содержанию письмах с угрозами, имеют разный уровень репутации. Есть адреса с нулевым балансом, есть адреса с небольшим депозитам в районе 1,5-2$. Выявлен случай перечисления выкупа на адрес, ассоциированный со взломами и ransomware Phobos, а также неизвестным "миксером" BTC.
• IP-адрес, с которого осуществлялась рассылка blackmail, замечен в масштабной рассылке спама на другие сайты с тем же текстом угроз. Сам IP-адрес использует сертификат VPN-провайдера Private Internet Access, на разных ресурсах использовались разные параметры User Agent (идентификатора браузера), что говорит о подмене fingerprint (цифрового отпечатка устройства).
• В большинстве случаев пользователи, получившие угрозы и не выполнившее обозначенные условия, не столкнулись с какими-либо последствиями в виде взлома ресурсов.

Вывод:

Правильным ответом на вопрос "Стоит ли доверять угрозам", будет фраза "Не стоит их недооценивать". Конкретно в нашем случае, в совокупности с информацией от "безопасников", мы рекомендовали человеку не обращать внимания на данную угрозу. Скорее всего какой-то "умелец" получил доступ к серверу и устроил с него рассылку blackmail автоматизированным способом, оставляя сообщения на сайтах через форму обратной связи и комментарии.

Исходя из полученных в ходе исследования данных можно сделать вывод о том, что отправитель угроз действует не один и действительно может быть завязан на некую группировку злоумышленников. Если это так, то в группе явно существует разделение труда, потому что помимо blackmail биткоин-адреса ассоциируются c использованием ransomware Phobos.

Собранный объем информации позволяет ответить на вопрос, поставленный владельцем интернет-магазина, но мал для того, чтобы делать окончательные вывод о том, кто конкретно участвовал в рассылке blackmail и других атаках. Было бы странно, если бы схема злоумышленников укладывалась в рамках одной статьи - мы тоже это понимаем. Мы продолжим исследование и готовы делиться информацией по инциденту с другими командами, если он кого-то заинтересует.

Наша деятельность имела исследовательский характер и может не учитывать ряд деталей. Только правоохранительные органы могут делать окончательные выводы о лицах, стоящих за атакой и предъявлять обвинения.

Спасибо за внимание!