Киберпреступность как сервис: услуги и цены

    Индустрия киберпреступности обошлась миру в три триллиона долларов в 2015 году и, по прогнозам, к 2021 году сумма вырастет до шести триллионов. Оцениваются все издержки в комплексе – например, в атаке с использованием шифратора мы считаем не только сумму выкупа, но и расходы от снижения производительности, последующее усиление мер безопасности, имиджевый ущерб и не только.

    Киберпреступность как сервис не является чем-то принципиально новым. Разработчики вредоносного ПО предлагают продукты или инфраструктуру на черном рынке. Но что конкретно они продают и сколько это стоит? Мы просмотрели несколько сайтов в даркнете, чтобы найти ответы на эти вопросы.


    Вымогатель как сервис


    В даркнете доступно множество пакетов программ-вымогателей. Обновления, техподдержка, доступ к C&C-серверам, тарифные планы – все как у «белого» ПО, за исключением законодательного запрета.


    Рисунок 1. Программа-вымогатель Ranion доступна в даркнете

    В составе одного из пакетов предлагается вымогатель Ranion, он доступен по подписке на месяц и год. Есть несколько тарифных планов, минимальная плата начинается от 120 долларов в месяц. Премиум-комплектация – 900 долларов в год или 1900 долларов, если заказчик захочет добавить к исполняемому файлу программы дополнительные функции.


    Рисунок 2. Варианты подписки на Ranion, предлагаемой киберпреступниками

    Возможна другая схема оплаты – киберпреступники предоставляют вредоносное ПО или доступ к C&C-инфраструктуре бесплатно, а затем забирают себе часть средств, полученных от жертв.

    Какая бы стратегия ни была применена, мы видим, что арендатор берет на себя дальнейшие операции с малварью. Ему нужно доставить программу до устройства жертвы, например, с помощью спам-рассылки или доступ к уязвимым серверам через RDP.

    Продажа доступа к серверам


    В даркнете можно найти сервисы, предлагающие учетные данные для доступа к серверам через протокол RDP. Цена – в диапазоне 8-15 долларов за один сервер, их можно сортировать по стране, операционной системе, даже по тому, на какие сайты оплаты пользователи заходили с этих серверов.


    Рисунок 3. Продажа доступа к серверам в Колумбии через RDP

    На рисунке выше – фильтр по 250 доступным серверам, расположенным в Колумбии. Для каждого сервера приведена детальная информация, которую можно увидеть на следующем изображении.


    Рисунок 4. Описание сервера, доступ к которому продается в даркнете

    После покупки доступа киберпреступник может воспользоваться им для запуска программы-вымогателя или установить более скрытное вредоносное ПО, троян или шпионскую программу.

    Аренда инфраструктуры


    Некоторые операторы ботнетов сдают в аренду их вычислительные мощности для рассылки спама или DDoS-атак.

    Стоимость таких атак варьируется в зависимости от продолжительности (в диапазоне от 1 до 24 часов) и от того, сколько трафика ботнет может в это время генерировать. На рисунке ниже вариант с трехчасовой атакой за 60 долларов.


    Рисунок 5. Пример предложения с арендой инфраструктуры для DDoS-атаки

    Некоторые предлагают аренду своих (как правило, небольших) ботнетов для атак на серверы онлайн-игр, например, Fortnite. Они же нередко продают краденые аккаунты. Для продвижения «сервисов» используются социальные сети, владельцы аккаунтов особо не беспокоятся об анонимности.


    Рисунок 6. Предложения по аренде ботнетов в Instagram


    Рисунок 7. Пользователи YouTube демонстрируют DDoS-атаки на серверы Fortnite

    Продажа аккаунтов PayPal и кредитных карт


    Операторы успешных фишинговых атак зачастую не рискуют использовать украденные аккаунты самостоятельно. Более безопасно и рентабельно перепродать добычу другим киберпреступникам. Как можно видеть в таблице ниже, они берут около 10% от средств на скомпрометированном счете.


    Рисунок 8. Продажа аккаунтов PayPal и кредитных карт

    Некоторые продавцы гордо демонстрируют фейковые сайты и другие инструменты для фишинга.


    Рисунок 9. Пошаговое описание процесса

    В презентации на Segurinfo 2018 евангелист ESET Тони Энскомб отметил, что индустрия разработки вредоносных программ теперь напоминает софтверную компанию. Предлагаемое киберпреступниками ПО, продукты и сервисы с успехом используют схемы, позаимствованные в «легальных» продажах и дистрибуции.

    В даркнете функционирует полноценная индустрия с продажами, маркетингом, постпродажным обслуживанием, выпуском обновлений ПО и мануалов. В экосистеме много внутренних покупателей, а основная прибыль достается крупным игрокам, обладающим наиболее развитой инфраструктурной сетью и ассортиментом. Как результат развития «индустрии» – более широкая доступность вредоносных программ в сочетании с их технологическим усложнением.
    • +13
    • 4,6k
    • 3
    ESET NOD32
    132,00
    Компания
    Поделиться публикацией

    Комментарии 3

      +2
      Только вершина айсберга, сколько сайтов по «пробивам», покупке информации о людях, услуги по восстановлению симок и не только такие услуги. На подобных форумах и от людей задействованных в определенных структурах, в т.ч банковских полно предложений, о разного рода доступа к инфе.
        0

        реклама даркнета в блоге про безопасность?)

          +1
          Честно говоря больше волнует не то, что в даркнете можно найти нужное злоумышленникам. А то, что при простейшем поиске в Рунете находятся кучи предложений — от продаже готовых майнеров и до найма дропов. В вот попробуешь сделать поиск на английском — и найти очень сложно. Хотя там никакого Роскомнадзора нет

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое