«Лаборатория Касперского» выяснила, как устроен рынок Malware-as-a-Service
Эксперты «Лаборатории Касперского» разобрали, как устроены сервисы Malware-as-a-Service (MaaS – вредоносное программное обеспечение как услуга), какое вредоносное ПО чаще всего распространяют по такой модели и как рынок услуг Malware-as-a-Service зависит от внешних событий.
Изучив данные из различных источников, включая теневой сегмент интернета, они выделили 97 семейств, распространявшихся по модели MaaS начиная с 2015 года, и распределили их по пяти категориям с точки зрения цели ВПО: программы-вымогатели, инфостилеры, загрузчики, бэкдоры и ботнеты. Как и ожидалось, большинство семейств, распространявшихся по модели MaaS, — это программы-вымогатели (58%), 24% составляют инфостилеры, а оставшиеся 18% разделили между собой ботнеты, загрузчики и бэкдоры.
Несмотря на то, что большинство обнаруженных семейств относится к программам-вымогателям, в даркнет-сообществах чаще всего упоминались семейства инфостилеров. Шифровальщики занимают второе место по активности на теневых форумах. Начиная с 2021 года число их упоминаний растет, в то время как число упоминаний ботнетов, бэкдоров и загрузчиков постепенно сокращается.
Количество упоминаний различных семейств ВПО на теневых форумах коррелирует с резонансными кибератаками и другими событиями в жизни киберпреступного сообщества. С помощью оперативного и ретроспективного анализа эксперты выделили ключевые события, приводившие к всплеску обсуждаемости зловредов для каждой категории ВПО. Прекращение деятельности группировок, арест участников и удаление постов на теневых форумах о распространении вымогателей не останавливают активность злоумышленников полностью. На смену ушедшей группировке приходит новая, причем нередко в нее переходят участники старой.
Для каждой из пяти категорий зловредов эксперты «Лаборатории Касперского» подробно разобрали этапы участия в партнерской программе — от вступления до достижения конечной цели злоумышленников. Они выяснили, что входит в предоставляемый операторами сервис, как злоумышленники взаимодействуют между собой и к какой сторонней помощи они прибегают.
Каждый шаг этой цепочки продуман до деталей, и каждый участник в ней выполняет свою роль.
«Для распространения инфостилеров злоумышленники часто используют YouTube. Они взламывают аккаунты пользователей и загружают на них однотипные видео, рекламирующие кряки и инструкции по взлому различных программ. В случае со стилерами, которые операторы предоставляют по модели MaaS, распространением активно занимаются начинающие злоумышленники — трафферы, которых нанимают партнеры. В некоторых случаях их можно деанонимизировать, имея на руках только экземпляр ВПО, который они распространяют»,- поясняют эксперты.
По их мнению, мониторинг даркнета и знание о том, как устроена модель Malware-as-a-Service, какие возможности есть у злоумышленников, позволяет специалистам ИБ и исследователям понять, как они мыслят и предугадать их дальнейшие действия, что помогает превентивно реагировать на возникающие угрозы. Узнать больше о структуре рынка MaaS можно узнать здесь.