Echipa Kaspersky Digital Footprint Intelligence a prezentat un nou studiu care dezvăluie ransomware-ul ca fiind cel mai răspândit Malware-as-a-Service (MaaS) din ultimii șapte ani. Studiul se bazează pe cercetările efectuate pe 97 de familii de malware distribuite pe dark web și alte platforme. În plus, cercetătorii au descoperit că infractorii cibernetici închiriază adesea infostealers (software capabil să fure informații), rețele botnet, loaders și backdoors pentru a-și realiza atacurile.
Malware-as-a-Service (MaaS) este un model ilicit de business care implică închirierea de software pentru a efectua atacuri cibernetice. De obicei, clienților unor astfel de servicii li se oferă un cont personal prin care pot controla atacul, precum și suport tehnic. Astfel, scade pragul inițial de expertiză de care au nevoie infractorii cibernetici.
Experții Kaspersky au examinat volumele de vânzări ale diferitelor familii de malware, precum și mențiunile, discuțiile, postările și anunțurile de căutare pe darknet și alte resurse referitoare la MaaS pentru a identifica cele mai populare tipuri. Liderul s-a dovedit a fi ransomware sau software rău intenționat care criptează datele și solicită plata unei recompense pentru decriptare. Acesta a reprezentat 58% din toate familiile distribuite sub modelul MaaS între 2015 și 2022. Popularitatea ransomware-ului poate fi atribuită capacității sale de a genera profituri mai mari într-un interval de timp mai scurt decât alte tipuri de malware.
Criminalii cibernetici se pot „abona” la Ransomware-as-a-service (RaaS) gratuit. Odată ce devin parteneri în program, plătesc serviciul după ce are loc atacul. Suma este determinată drept procent din răscumpărarea plătită de victimă, de obicei variind de la 10% la 40% din fiecare tranzacție. Cu toate acestea, intrarea în program nu este o sarcină simplă, deoarece presupune îndeplinirea unor cerințe riguroase.
Distribuția familiilor de malware, 2015-2022, cu exemple ale celor mai populare familii din fiecare tip1. Sursa: Kaspersky Digital Footprint Intelligence
Infostealers au reprezentat 24% din familiile de programe malware distribuite ca serviciu în perioada analizată. Acestea sunt programe rău intenționate concepute pentru a fura date, precum acreditările, parolele, cardurile și conturile bancare, istoricul browserului, datele criptomonedelor și multe altele.
Serviciile Infostealer sunt plătite printr-un model de abonament. Au prețuri între 100 și 300 de dolari pe lună. De exemplu, Raccoon Stealer, care a fost întrerupt la începutul lunii februarie 2023, putea fi achiziționat pentru 275 de dolari pe lună sau 150 de dolari pe săptămână. Concurentul său, RedLine, are un preț lunar de 150 de dolari și există și opțiunea de a achiziționa o licență pe viață pentru 900 de dolari, potrivit informațiilor postate pe Darknet de operatorii săi. Atacatorii folosesc, de asemenea, servicii suplimentare pentru prețuri suplimentare.
18% din familiile de programe malware vândute „as a service” s-au dovedit a fi rețele bot, loaders sau backdoors. Aceste amenințări sunt combinate într-un singur grup, deoarece au adesea un obiectiv comun: să încarce și să ruleze alte programe malware pe dispozitivul victimei.
Infractorii cibernetici care operează platforme MaaS sunt denumiți în mod obișnuit operatori, în timp ce utilizatorii care achiziționează aceste servicii sunt cunoscuți ca afiliați. După încheierea unei înțelegeri cu operatorii, afiliații primesc acces la toate componentele necesare ale MaaS, cum ar fi panouri de comandă și control (C2), constructori (programe pentru crearea rapidă a mostrelor unice de malware), upgrade-uri de malware și interfețe, asistență, instrucțiuni, si hosting. Panourile sunt o componentă esențială care le permite atacatorilor să controleze și să coordoneze activitățile dispozitivelor infectate. De exemplu, infractorii cibernetici pot să exfiltreze date, să negocieze cu o victimă, să contacteze asistența tehnică, să creeze mostre unice de malware și multe altele.
Unele tipuri de MaaS, cum ar fi infostealers, permit afiliaților să-și creeze propriul tip de echipă. Membrii unei astfel de echipe sunt numiți traficanți – criminali cibernetici care distribuie malware pentru a crește profiturile și a genera interes, bonusuri și alte plăți de la afiliați. Traficanții nu au acces la panoul C2 sau la alte instrumente. Singurul lor scop este să extindă răspândirea malware-ului. Cel mai adesea, ei reușesc acest lucru deghizând mostre în crack-uri și instrucțiuni pentru hacking de programe legitime de pe YouTube și alte site-uri web.
Aflați mai multe despre funcționarea Malware-as-a-Service pe Securelist. Pentru a vă proteja organizația de amenințările asociate, experții Kaspersky recomandă:
- Țineți întotdeauna software-ul actualizat pe toate dispozitivele pe care le utilizați pentru a preveni infiltrarea atacatorilor în rețeaua dumneavoastră prin exploatarea vulnerabilităților. Instalați patch-uri pentru noile vulnerabilități cât mai curând posibil. Odată descărcate acestea, actorii amenințărilor nu mai pot abuza de vulnerabilități.
- Utilizați cele mai recente informații despre Threat Intelligence pentru a fi la curent cu TTP-urile reale utilizate de actorii amenințărilor.
- Utilizați Kaspersky Digital Footprint Intelligence pentru a-i ajuta pe analiștii de securitate să exploreze viziunea adversarului asupra resurselor companiei lor, să descopere cu promptitudine potențialii vectori de atac disponibili pentru ei. Acest lucru ajută, de asemenea, la creșterea gradului de conștientizare cu privire la amenințările existente din partea infractorilor cibernetici, pentru a vă ajusta apărarea în consecință sau pentru a lua măsuri de contracarare și eliminare în timp util.
- Dacă vă confruntați cu un incident, serviciul Kaspersky Incident Response vă va ajuta să răspundeți și să minimizați consecințele, în special pot identifica nodurile compromise și pot proteja infrastructura de atacuri similare în viitor.
1 Rețelele botnet IoT nu sunt incluse, deoarece nu sunt distribuite sub modelul MaaS, ci modelul DDoS-as-a-Service, care nu este clasificat ca MaaS.