В нескольких словах
Киберпреступность переходит на модель «как услуга», предлагая широкий спектр вредоносных программ и украденных данных. Это упрощает доступ к киберпреступной деятельности и требует усиления мер кибербезопасности.
Далеки те времена, когда хакер-одиночка, полагаясь на гениальное программирование и бессонные ночи, проникал в системы крупной корпорации.
Сегодня киберпреступность стала гораздо более прагматичной и приблизилась к функционированию обычного бизнеса. Одной из последних тенденций в мире цифрового преступного мира является cybercrime as a service — CaaS (киберпреступность как услуга). Это название происходит от термина SaaS (software as a service), популярного в бизнесе для обозначения предоставления онлайн-сервиса. Только в этом случае услуга предоставляется с помощью вредоносной программы или украденных данных.
Константинос Пацакис, исследователь кибербезопасности в Athena Research Center (Греция), рассказывает, что большая часть этой деятельности происходит в глубокой сети (контент, не индексируемый поисковыми системами) и темной сети (части, доступной только через такие инструменты, как Tor).
«Вы можете найти форумы или сервисы, которые продают учетные данные, людей, которые продают услуги, связанные с отмыванием денег или продажей вредоносного ПО. Например, некоторые продают исходный код или builder (облегчает создание сложных объектов в программировании) для создания ransomware as a service», — отмечает он.
«Люди покупают это и заражают другие устройства», — подчеркивает Пацакис, координатор европейского проекта SafeHorizon. В этой инициативе сотрудничают сотрудники CSIC и различных исследовательских центров — как частных, так и государственных — в нескольких странах ЕС. Ее цель — повысить устойчивость региона к кибератакам и уделить особое внимание CaaS. «Мы стараемся понять modus operandi киберпреступников, собирать данные и проводить сопоставления. Мы пытаемся понять, как работает вредоносное ПО с помощью обратной инженерии, что оно делает и куда отправляет украденные данные», — объясняет греческий исследователь. Тесное сотрудничество с властями имеет ключевое значение. Поэтому в проекте участвуют силы и органы безопасности, такие как полиция Финляндии, Польши и Молдовы.
Существует целый рынок, со своими производителями (вредоносного ПО) и посредниками. Есть платформы купли-продажи и другие каналы распространения с разнообразным предложением. Предлагаются вредоносные программы, уязвимости, доступ к сетям и все виды украденных данных, как на большом базаре киберпреступности. Концепция киберпреступности как услуги охватывает более конкретные MaaS (malware as a service) или RaaS (ransomware as a service).
«Речь идет о переносе концепции любого популярного программного обеспечения, такого как Microsoft Office, на программное обеспечение, которое вместо редактирования текста запускает вредоносное ПО», — комментирует Марк Алмейда, исследователь кибербезопасности, работающий в CIRMA, проекте, связанном с SafeHorizon. «Если технический движок можно приобрести, то самая сложная, с технической точки зрения, часть исключается из уравнения. Их работа сводится к выполнению обмана, чтобы кто-то сделал знаменитый щелчок [по ссылке или для загрузки файла], или купить или приобрести доступ к сетям компаний через уязвимости».
Эта схема распространяется с большой скоростью. Ежегодный отчет британской компании по кибербезопасности Darktrace показывает, что MaaS уже несет ответственность за 57% кибератак на компании и учреждения, согласно специализированному изданию Cyber Magazine. Скачок за последние месяцы был резким. В середине 2024 года эти атаки составляли еще 40%.
«Это обходится им намного дешевле, чем если бы они делали это с нуля», — настаивает Алмейда. «В противном случае им пришлось бы программировать вредоносное ПО, находить уязвимости и прятаться, что им тоже приходится делать, чтобы их не поймали». Разработка вредоносного ПО обычно ложится на небольшие группы с техническими знаниями, даже на группы, спонсируемые государствами. Иногда это отдельные лица, работающие в одиночку. И основная мотивация — прибыль, хотя существуют и мотивы, связанные с геостратегией.
Эти вредоносные программы распространяются через рынки и форумы в темной сети. Но также через такие известные сервисы, как Telegram или Discord. «Иногда есть независимые продавцы, например, небольшой хакер, который создал специальный инструмент для кражи конкретной информации», — поясняет Пацакис. «Также бывает, что у кого-то есть доступ к конфиденциальным данным организации, например, и он просто пишет на форуме: «Привет, ребята, у меня есть информация о компании X», и просит заинтересованных лиц отправить ему сообщение или отправить биткойны на виртуальный кошелек для покупки».
Украденные данные — еще один из самых популярных продуктов в области CaaS. Киберпреступная организация использует программу для кражи информации, которую затем продает любому, кто заплатит цену. Они убеждают большое количество пользователей установить infostealer (троян), который отслеживает то, что вы пишете на клавиатуре или какие адреса посещаете. «Они могут заключить, что вы вошли в определенную платформу и использовали определенные учетные данные», — отмечает Пацакис.
После сбора информации группа отправляет ее в свою центральную инфраструктуру. «Иногда у них есть персонал, который занимается оценкой украденной информации. Это означает, что если у них есть данные 10 000 пользователей, не все эти пользовательские данные имеют одинаковую ценность», — подчеркивает координатор SafeHorizon. «В некоторых случаях это будут пользователи с высоким профилем или банковские счета с высоким профилем, которые стоят дороже. Или у них могут быть кредитные карты, которые нельзя использовать». Киберпреступная группа занимается классификацией всех украденных данных, как это сделал бы дистрибьютор фруктов. Каждая информация имеет свою рыночную стоимость.
Киберпреступники, работающие как компании
Группы, образующие эту экосистему киберпреступности, стремятся к эффективности своего «бизнеса». Для этого они принимают коммерческие стратегии, которые мы привыкли видеть в законном цифровом мире. Существует прямая продажа вредоносного ПО, но также и модели подписки, которые позволяют получить доступ к каталогу инструментов для атак, который периодически обновляется.
Иногда покупатель может изменить некоторые параметры вредоносного ПО, чтобы адаптировать его к своим целям. Это та же идея, что и когда компания адаптирует стороннее программное обеспечение к своим потребностям. Алмейда отмечает, что у продавцов есть разные коммерческие пакеты: «Это как компания. Если хотите, вы можете купить только исполняемый файл или также Command & Control Server, с которого можно контролировать, как выполняются вредоносные программы, даже проверять, нужно ли делать обновления. Это то, что вы видите на законной стороне программного обеспечения, но перенесено на вредоносное ПО».
И кто может купить эти вредоносные продукты, полученные от CaaS? Алмейда говорит прямо: «Потенциально, кто угодно», — подчеркивает исследователь кибербезопасности. «Самая утомительная, самая техническая часть упрощена. Следовательно, кривая входа в эти виды деятельности стремится к нулю. Раньше этот тип программного обеспечения требовал разработки, это было не просто нажатие кнопки. Теперь вы исключаете это из уравнения». Как и во всей растущей экономической деятельности, киберпреступность открыла для себя разделение труда.
