Вирус под арестом

В России арестовали разработчика известной программы Blackhole, предназначенной для заражения компьютеров пользователей интернета вредоносными программами. Об аресте россиянина по кличке Paunch «Ведомостям» рассказал главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев со ссылкой на анонимные источники. Кроме того, арест Paunch подтвердил изданию TechWeekEurope Троэлс Оэртинг, директор Европейского центра по киберпреступности - подразделения Европола (полицейской службы Евросоюза). «Я знаю, что это правда, у нас есть дополнительная информация, но я больше ничего не могу сказать», - заявил он изданию.

Источник «Ведомостей» в МВД уточнил, что Paunch был задержан в рамках уголовного дела, которое расследует следственный департамент МВД. Рассказать подробности дела и назвать настоящее имя Paunch он отказался. По его словам, следствие собирается обратиться в суд с ходатайством о выборе меры пресечения в виде ареста.

Программа Blackhole появилась в конце 2010 г., она использовала множество уязвимостей в среде программирования Java, программе Adobe Flash Player, формате документов PDF, браузере Internet Explorer. Paunch фактически сдавал Blackhole в аренду другим преступникам, позволяя им с помощью этого софта распространять вирусы. После выхода новой версии Blackhole в сентябре 2012 г. журнал «Хакер» обнародовал информацию о тарифах автора этой программы. Выяснилось, что аренда Blackhole на сервере Paunch стоила от $50 в сутки, на собственном сервере заказчика - $700 за три месяца. При этом команда Paunch, по данным исследователя по кибербезопасности Брайана Кребса, сама занималась скупкой возможных уязвимостей в браузерах и дополнениях для браузеров - один из подельников Paunch опубликовал в начале 2013 г. объявление, согласно которому команда разработчиков Blackhole готова потратить $100 000 за скупку информации об уязвимостях.

По оценке компании Sophos, в октябре 2011 г. - марте 2012 г. программу Blackhole использовало 28% всех обнаруженных угроз в интернете. А по итогам 2012 г. 49% вирусов, обнаруженных антивирусной компанией AVG, были распространены с помощью Blackhole. По данным AVG, в III квартале 2012 г. Blackhole занимала 76% рынка наборов для распространения вредоносных программ.

Задержание Paunch и блокировка ресурсов, через которые работал набор Blackhole, могут помешать работе крупнейших ботнетов (сетей зараженных компьютеров). По данным французского аналитика по кибербезопасности Kaffeine, раньше программы Blackhole обновлялись дважды в день, но в последние четыре дня обновлений нет. Год назад Paunch при запуске Blackhole 2.0 написал на сайте exploit.in, что «антивирусные компании стали очень быстро распознавать [старую версию], что это Blackhole, и помечать ее как malware [вредоносная программа]». Сейчас, если Blackhole перестанет обновляться, с ней произойдет то же самое.

Blackhole первой среди подобных программ стала продаваться массово как сервис, позже эту бизнес-модель взяли на вооружение и ее конкуренты, говорит директор центра вирусных исследований и аналитики Eset Александр Матросов. По его словам, впервые в мире задержали человека, который занимался поддержкой такого сервиса. Матросов говорит, что конкуренты Paunch тоже выходцы из России или стран СНГ и после его задержания они могут уехать из страны.