Обычно хакеры маскируют вредоносное ПО под полезные файлы и программы, чтобы заразить компьютер, украсть данные или потребовать выкуп, но что, если отплатить им той же монетой? Специалист по кибербезопасности Крис Корнеа так и поступил — пошёл в контратаку: сделал бесплатный якобы софт для взлома, разместил его на теневой площадке и получил данные сотни хакеров.
Как он это провернул
По сути, Крис сделал продвинутый honeypot — фейковый конструктор программ-вымогателей под названием Jinn Ransomware Builder. В описании он пообещал обширный функционал, включая поддержку трёх языков (PowerShell, C# и Python), шифрование алгоритмом AES, а также полную недетектируемость, но функции были реализованы лишь частично для убедительности приманки.
На деле главной задачей «вымогателя» был запуск бэкдор-соединения, позволяющего безопаснику тайно получить IP-адреса и другие данные о хакерах.
Итоги и выводы
«Вымогатель» Криса действительно показал нулевое обнаружение на VirusTotal, лишний раз продемонстрировав, что не стоит полностью полагаться на подобные инструменты, а также поднялся на третье место по популярности на хакерском форуме.
Большинством из «жертв» приманки, вероятно, стали новички и script kiddies — любители, которые не умеют программировать, а лишь используют чужие наработки для атак, не разбираясь, как они работают. Но факт остаётся фактом: киберпреступники ничем не лучше своих жертв и так же падки на халяву.
Но главная тема, которую поднял эксперимент, — этическая: может ли безопасник взламывать хакера в ответ или упреждать атаки? Крис, к примеру, не стал взламывать хакеров и посоветовал другим последовать его примеру, ведь есть тонкая грань между хорошим хакером и юридическим определением плохого.