Cybercrime-as-a-service: как работает рынок киберпреступлений по заказу

В последние годы, чтобы организовать кибератаку, уже не нужно разбираться в зловредном ПО и устройстве систем безопасности. Подпольный рынок предлагает услуги под любые запросы: от простой DDoS-атаки до комплексных кампаний с применением уязвимостей нулевого дня. Как устроена эта сфера, читайте в материале Cyber Media.

По сути своей Cybercrime-as-a-service — это обратная сторона тренда, который уже проявился на легальном рынке ИТ. Растущая сложность технологий вместе с нехваткой квалицифированных кадров создает спрос на специализированные услуги. Компании уже привыкли к сервисной модели, которая позволяет не инвестировать в собственную инфраструктуру, не искать специалистов в штат, а привлекать аутсорсинговые команды. Так же поступают и киберпреступники: вместо того, чтобы тратить свои ресурсы на развертывание C2C-серверов, разработку или покупку вредоносного ПО, поиск целей и т.д., они предпочитают заплатить за доступ к готовому инструментарию и сразу приступить к атакам.

Разумеется, все это было бы невозможно без сопутствующей инфраструктуры. Подпольные торговые площадки размещаются в закрытой части интернета (даркнете), расчеты между сторонами проводятся анонимно с помощью криптовалюты.

Артем Избаенков

Директор по развитию направления кибербезопасности компании EdgeЦентр

Основная аудитория CaaS включает в себя разнообразных пользователей с разными уровнями технических знаний и мотивацией. Опытные хакеры и киберпреступники могут использовать их для расширения своих возможностей. Конкуренты компании и бизнес-шпионы обращаются к CaaS для атак на конкурентов, чтобы украсть конфиденциальную информацию, идеи, клиентов или даже нарушить работу конкурирующих компаний. Кроме того, CaaS-модель может быть привлекательной для киберпреступников-новичков. Некоторые сервисы предоставляют даже простые интерфейсы и инструкции, чтобы сделать процесс атаки более доступным для начинающих. Хактивисты могут использовать CaaS-сервисы для киберпротестов и атак на веб-ресурсы с целью привлечения внимания к социальным или политическим вопросам.

Направления Cybercrime-as-a-service

К настоящему моменту на теневом рынке можно найти сервисы для любого этапа кибератаки: от поиска подходящих целей до непосредственно заражения и перехвата ценных данных.

Сергей Полунин

Руководитель группы защиты инфраструктурных IT компании «Газинформсервис»

Типичная CaaS-платформа включает в себя очень разные инструменты. Это магазин конструкторов вредоносных приложений. Они не собираются под ключ, однако вы можете самостоятельно выбрать необходимые модули и как именно они будут работать. Например, в конструкторе для фишинга можно создать шаблон и текст письма, а в приложении для создания программ-вымогателей можно написать собственное сообщение и указать, например биткоин-кошелек.

Основные предложения на рынке CaaS можно сгруппировать следующим образом:

• Malware-as-a-service («вредоносное ПО как услуга»). Сюда входит разработка, распространение и поддержка зловредных программ: шифровальщиков-вымогателей, шпионских троянов и т.д.
• Ransomware-as-a-service («программа-вымогатель как услуга»). Отдельно стоит отметить модель, благодаря которой многие и узнали о CaaS. С распространением шифровальщиков появились веб-платформы, которые позволяют настраивать программы-вымогатели, устанавливать суммы выкупа и удаленно управлять кампаниями.
• DDoS-as-a-Service («DDoS-атака как услуга»). Службы DDoS предоставляют доступ к ботнетам, которые можно использовать для запуска таких атак по требованию.

Евгений Царев

Управляющий RTM Group, эксперт в области кибербезопасности и права в ИТ

Условный школьник может организовать криминальный бизнес, например, на DDoS-атаках, брать по $200 в криптовалюте за сутки атаки каких-нибудь интернет-магазинов. Конечно же, есть не только эта категория, а и те, кто профессионально занимается осуществлением атак и последующими действиями. Если необходимо подключать и «социальных инженеров», то, соответственно, задействуется еще одно направление. То есть в группировках очень четко работает принцип разделения труда, и каждый совершенствует мастерство в своем секторе.

• Exploit-as-a-service («эксплойт как услуга»). Киберпреступники предоставляют доступ к уязвимостям нулевого дня или автоматизированным инструментам, которые позволяют использовать известные уязвимости в программном обеспечении или системах.
• Infrastructure-as-a-service («инфраструктура как услуга»). Эти сервисы предоставляют доступ к серверам и взломанным ранее сетям, объединенным в ботнет для запуска DDoS-атак, рассылки спама или вредоносного ПО.
• Hacker-as-a-service («хакер как услуга»). Опытные киберпреступники нанимаются для взлома целевых сетей, кражи данных или саботажа информационных систем.
• Phishing-as-a-service («фишинг как услуга»). Киберпреступники предлагают онлайн-интерфейс, позволяющий даже неспециалистам создавать фишинговые кампании и управлять ими. Эти службы обычно предоставляют готовые фишинговые шаблоны, услуги хостинга для фишинговых сайтов и инструменты для сбора данных жертв.
• Vulnerability-discovery-as-a-service («обнаружение уязвимостей как услуга»). Это направление представляет собой поиск уязвимостей в инфраструктуре с злонамеренными целями. Инструменты для обнаружения уязвимостей используются для выявления потенциальных пробелов в периметре безопасности организации.
• Exploit-delivery-as-a-service («доставка эксплойта как услуга»). Отдельная группа сервисов направлена на доставку эксплойта на целевые системы. Для этого злоумышленники предлагают комплекс из ботнетов, средств перенаправления трафика и хостинговых услуг в юрисдикциях, где власти смотрят на вредоносную активность сквозь пальцы.
• Attack-as-a-service («атака как услуга»). В это направление входят услуги по реализации основной задачи организатора кибератаки, будь то похищение конфиденциальной информации, нарушение работы целевой сети, внедрение программ-вымогателей или DDoS.

Помимо основных направлений, на рынке CaaS есть вспомогательные услуги, которые открывают дополнительные возможности для коммуникации между преступниками, монетизации кампаний, маркетинговых активностей. Одни сервисы помогают разработчикам вредоносного ПО найти клиентов, другие предоставляют площадку для обмена опытом и общения, третьи представляют собой обменники криптовалюты, площадки для отмывки и вывода преступных средств.

Евгений Царев

Управляющий RTM Group, эксперт в области кибербезопасности и права в ИТ

Что касается деклараций, что инструменты предоставляются «под ключ», то да, такое есть. Но реальность несколько иная, любое средство стоит денег, причем весьма существенных, ну и популярные платформы не настолько круты технологически и малоэффективны. В паблик не попадают инструменты с высокой эффективностью. Их покупают и используют ребята, для которых $1 млн — не деньги. И при больших бюджетах группировки имеют собственные группы разработки, поддержки, отмывания — это полноценные компании, если так можно выразиться, только криминальные. Такие ребята не хотят заниматься развитием платформ, они играют по-крупному.

Как защитить компанию от CaaS

Сергей Полунин

Руководитель группы защиты инфраструктурных IT компании «Газинформсервис»

Я бы не говорил о каких-то специальных мерах. Платформы CaaS создают угрозы на базе уже известных типов атак, поэтому если ваша организация готова к отражению атак хакеров, то в целом без разницы, где они взяли инструменты для атаки. Однако, это угроза для домашних пользователей, сети которых не так защищены. А учитывая, сколько людей работает из дома, это может быть идеальным доступом для хакеров в корпоративные сети.

Эксперты рекомендуют использовать комплекс мер: одни направлены на предотвращение, другие — на сдерживание злоумышленников после инцидента. Тест на проникновение в приложениях, сети, конечных точках поможет устранить уязвимости, прежде чем киберпреступники смогут ими воспользоваться. Также следует заранее продумать план обеспечения непрерывности бизнеса (business continuity plan), чтобы инцидент не привел к остановке бизнес-подразделений, а то и целой компании. Очень важно инвестировать в киберграмотность персонала — подавляющее большинство утечек данных начинается с ошибки сотрудника.

Развитие Cybercrime-as-a-service — один из наиболее тревожных трендов на сегодняшней арене киберпреступности. И если «традиционные» группировки зачастую обходят RU-пространство стороной, то CaaS-платформами могут воспользоваться все желающие. Поэтому опрошенные Cyber Media эксперты сходятся в том, что российским компаниям следует внимательно относиться к этим рискам.