16/05/19
Компании, специализирующиеся на восстановлении корпоративных данных после атак вымогательского ПО, на самом деле платят вымогателям и берут за это дополнительную плату себе. Как сообщает некоммерческая организация ProPublica, подобной тактики придерживаются как минимум две американские фирмы – Proven Data Recovery и MonsterCloud.
Специалистам из ProPublica удалось отследить четыре денежных перевода, осуществленных с биткойн-кошелька компании Proven Data Recovery на кошелек операторов вымогательского ПО SamSam. Примечательно, что в прошлом году правительство США ввело санкции в отношении граждан Ирана Али Хорашадизадеха и Мохаммада Горбанияна, являющихся операторами SamSam. Это значит, что вести с ними бизнес (в том числе платить за восстановление зашифрованных данных) гражданам США запрещено.
Согласно уверению представителей Proven Data Recovery, компания восстанавливает зашифрованные файлы своих клиентов с помощью технологии собственной разработки. Тем не менее, согласно показаниям ее бывшего сотрудника Джонатана Сторфера (Jonathan Storfer), это чистая ложь, и на самом деле компания покупает ключ для расшифровки у самих вымогателей.
По словам старшего директора Proven Data Recovery Виктора Конджионти (Victor Congionti), уплата выкупа – стандартная процедура, осуществляемая от имени клиентов компании. Однако Сторфер не согласен с такой формулировкой. Бывший сотрудник рассказал, как Proven Data Recovery удалось «подружиться» с операторами вымогательского ПО и добиться скидок. В результате оставшиеся после уплаты выкупа деньги клиентов компания оставляет себе. Более того, операторы SamSam рекомендуют своим жертвам обращаться за помощью к Proven Data Recovery и даже продлевают для них срок оплаты.
Помимо Proven Data Recovery, подобную «услугу» практикует еще одна фирма – MonsterCloud. Компания также покупает у киберпреступников ключ для расшифровки, а своим клиентам (среди них есть и правоохранительные органы) говорит, будто использует собственную технологию.
