Елена Шамшина, F.A.C.C.T.: Появление новых типов киберпреступных услуг обычно обусловлено появлением новых технологий и трендов мире IT

Елена Шамшина, руководитель департамента киберразведки компании F.A.C.C.T., рассказала порталу Cyber Media о том, как устроен рынок киберпреступности, специфике рекрутинга в blackhat-проекты и развитии сервисных моделей для совершения преступлений (Malware-as-a-Service).

Cyber Media: Последние годы набирает популярность сервисная модель киберпреступности, ярчайший пример – RaaS. Как устроены подобные панели, насколько они распространены, какие сопутствующие услуги предлагают?

Елена Шамшина: Понятие RaaS расшифровывается как «Ransomware as a service», «программы-вымогатели как услуга». Это партнерская схема, в рамках которой ее владелец предоставляет вредоносную программу для шифрования компьютерных сетей (собственно, сам шифровальщик), а «партнер» в обмен на возможность использования шифровальщика обязуется выплачивать процент с выкупов, полученных в результате атак. В некоторых случаях в рамках RaaS-партнерок действительно предоставляется доступ к административной панели, где участники могут сгенерировать файлы шифровальщика с определенными параметрами, указать информацию о жертвах, добавить в панель других пользователей.

Иногда помимо шифровальщика членам группировки предоставляются дополнительные инструменты и сервисы, такие как опытные переговорщики (чтобы договариваться с жертвой о сумме выкупа), дополнительное ПО, чтобы, например, выгружать данные из сети жертвы.

В настоящее RaaS-схемы распространены достаточно широко, поскольку шифровальщики представляют собой прибыльную сферу бизнеса в области киберпреступности. Но партнерские программы различаются между собой. Кто-то ищет участников открыто, давая объявления на форуме. Кто-то более закрыт и набирает команду в приватных источниках и несильно афиширует свою деятельность.

Кстати, на большинстве русскоязычных андеграундных форумов в правилах указано, что деятельность злоумышленников, в том числе в рамках RaaS-моделей, не должна затрагивать Россию и страны СНГ. Поэтому большинство шифровальщиков, которые выявляются в России и СНГ в настоящее время, не работают по RaaS-схемам.

Помимо шифровальщиков похожую концепцию используют и для продажи других типов вредоносного программного обеспечения: в общем случае это называется MaaS – Malware-as-a-Service. Также есть такие понятия, как PhaaS – Phishing-as-a-Service, фишинг как услуга; DaaS – DDoS-as-a-service, DDoS-атака как сервис.

Cyber Media: Как киберпреступники используют опыт развития и продвижения легального бизнеса в своих проектах? Какими инструментами или техниками пользуются?

Елена Шамшина: Мелкие проекты («простое» вредоносное программное обеспечение, такое как стилеры, а также фишинговые киты) активно пиарятся в Telegram-каналах, у них красочные объявления, поэтому вероятно у них в командах могут быть дизайнеры, маркетологи, иногда SMM. Они пишут объявления на разных язык, ориентируясь на различную аудиторию.

Иногда делают акции со скидками для покупателей – зачастую, как и в легальном бизнесе, привязывая скидки к новому году или «черной пятнице».

Пример объявления в Telegram

Как и в легальном бизнесе, продавцы/поставщики в «темном Интернете» дорожат своей репутацией. Иногда в качестве рекламы они могут хвастаться статьями, описывающими их «услугу», если таковые имеются. В случае с шифровальщиками это могут быть исследования от вендоров информационной безопасности. Некоторые злоумышленники даже сами дают интервью журналистам или модераторам андеграундных форумов.

Пример – интервью с владельцем MaaS-платформы на андеграундном форуме

Cyber Media: Крупный проект, построенный по сервисной модели, требует привлечения большого количества людей – от разработчиков и техподдержки, до маркетологов и бухгалтеров. Как подобные cybercrime-проекты обеспечивают свою безопасность? Есть ли у киберпреступников своя «служба ИБ»?

Елена Шамшина: Мы не располагаем достаточной информацией, чтобы утверждать, что «служба ИБ» есть у всех крупных криминальных проектов. Возможно, у каких-то есть. Необходимо понимать, что это потребует дополнительных финансовых затрат, поэтому, по нашим предположением, базовую проверку выполняют именно те, кто нанимает людей – читают другие сообщения (если это форум), изучают репутацию пользователя. Мы предполагаем, что в крупные проекты участники могут попадать по знакомству, если ранее уже работали друг с другом.

В некоторых случаях мы видели, что при поиске партнеров злоумышленники ориентируются на пользователей со старыми регистрациями, что уже является показателем «качества» злодея и того, что это не исследователь, который хочет получить больше информации.

Пример объявления на андеграундном форуме

Также, одним из критериев «заслуживающего доверие» партнера в андеграундном мире может считаться то, что у него на депозите форума имеются денежные средства.

Сообщение пользователя андеграундного форума о депозите

И конечно, «заслуживающие доверия» злоумышленники всегда готовы работать через гарант-сервис, предоставляемый андеграундным форумом. Это третья сторона, которая стоит между «покупателем» и «поставщиком» товара/услуги, таким образом они не смогут друг друга обмануть.

На андеграундных форумах широко распространен «арбитраж» – процесс, в рамках которого спорные ситуации, как правило финансового характера, решаются с помощью модераторов форума. Споры между владельцами партнерской программы шифровальщика и партнером – не редкость.

Пример «арбитража» на андеграундном форуме

В данном случае администратор форума отказал в претензии, написав развернутый ответ

Cyber Media: Насколько часто на cybercrime-рынке появляются новые услуги? С какими необычными или интересными предложениями вы сталкивались в своей практике?

Елена Шамшина: Появление новых типов услуг обычно обусловлено появлением новых технологий и трендов мире IT. К примеру, когда появляются новые социальные сети, очень быстро начинают появляться схемы мошенничеств/атак для этих новых платформ.

Распространение технологий искусственного интеллекта, которое наблюдается в последнее время, затронуло и теневой бизнес. Так, интересным новым предложением был WormGPT – проект, который позиционировался создателем как чат-бот для хакеров. Он был выпущен в июле 2023 года на андеграундных форумах, а также рекламировал себя в Telegram. Однако уже в августе 2023 автор объявил о закрытии проекта из-за повышенного негативного внимания со стороны СМИ.

Фрагмент сообщения о закрытии проекта:

«Today, the five of us, who are responsible for WormGPT, have come together and decided to put an end to the project, letting go of everything we believed in and distancing ourselves a bit from a society that opposes freedom of expression and code.

Thank you to all who believed in the project, to those who contributed to its growth, and above all, thanks to the members of Hackforums for providing us the strength to carry on its development. Regrettably, the world is not yet prepared to coexist with a tool of such vast freedom.»

Cyber Media: В даркнете существует несколько наиболее известных хакерских форумов. Один из них, BreachForums, не так давно был закрыт. Как закрытие крупных форумов сказывается на мире киберпреступности, насколько подобные меры эффективны?

Елена Шамшина: Подобные события происходят в андеграундном мире достаточно часто. BreachForums – не первый известный форум, который был закрыт, до него подобная участь постигла очень знаменитый Raidforums.

Обычно через какое-то время появляется «замена» в виде новой площадки. Так что подобная мера не ставит крест на криминальной деятельности, но действительно, злоумышленникам требуется время, чтобы наладить свой процесс заново. Также, если хакерские форумы закрываются в результате операций правоохранительных органов, это может сопровождаться арестами участников, что уже несомненно более значимая мера в борьбе с киберпреступностью.

*Скриншоты взяты из F.A.C.C.T. Threat Intelligence