Сколько стоит взлом: рынок программ для кибератак

Взгляните на картинку:

Перед вами закрепленные темы с форума для хакеров Blackhacker, который без труда можно найти в поиске «Яндекса». Люди покупают, продают и обмениваются программами для взлома — целый рынок. Нет ли здесь связи с растущим год от года количество киберпреступлений? Давайте разбираться.

Из чего состоит теневой рынок киберуслуг

В 2018 году компания Positive Technologies провела исследование хакерского рынка, чтобы понять, нужны ли злоумышленникам профильные знания для кибератак, или же они могут обратиться к владельцам ботнетов, взломщикам сайтов, а также к разработчикам и распространителям вредоносного программного обеспечения (ВПО). Последние предлагают множество решений:

• Стилеры (трояны для кражи данных)
• RAT и ПО для ботнета
• Трояны для взлома банкоматов
• Трояны-вымогатели
• Криптомайнеры
• Хакерские утилиты
• ВПО для DDoS-атак
• Лоадеры (трояны для загрузки других вредоносов)

Исследование также показало, что на теневом рынке, помимо ВПО, востребованы эксплойты, активно идет продажа данных и доступов для несанкционированного проникновения на сайты и серверы.

Криптомайнеры

2017-й стал годом расцвета различных криптовалют, поэтому резко возросло число программ для скрытого майнинга. На рынке ВПО в 2018 году их доля составляла 20 %, а доля атак с их применением — 23 %. Средняя цена на криптомайнеры, согласно исследованию «Коммерсанта», — 80 долларов.

Трояны для кражи данных

Операции с криптовалютами вызвали интерес, который в свою очередь спровоцировал распространение вредоносного ПО для хищения средств из пользовательских криптокошельков. Возможности таких программ:

• Перехват клавиатурных нажатий и запоминание заголовка окна, в котором происходили нажатия
• Перехват паролей из буфера обмена
• Обход/деактивация антивирусных программ с помощью преобразований исполняемых файлов — например, с применением шифрования и «замусоривания» исполняемого файла, изменения точек входа в процедуры и функции
• Отправка нужных файлов на электронные ящики злоумышленников

Средняя цена на стилеры — трояны, крадущие ценные данные пользователя, — 10 долларов. Эта сумма многократно окупается, потому что похищенные данные стоят от нескольких десятков (пароли от почтовых ящиков, соцсетей и порталов) до нескольких тысяч долларов (пароли от криптокошельков и платежных систем).

«Ратники» и ПО для ботнета

• Хакерское RAT-ПО (remote access trojan) используют, когда нужно не только похитить данные, но и получить долговременный и скрытый доступ к компьютеру или серверу для удаленного выполнения команд и наблюдения за пользователем:
• Отслеживания пользовательских действий
• Записи экранных состояний
• Запуска файлов
• Активации кая ЛВС
• Скачивания файлов из интернета
• На рынке даркнета такое ПО стоит около 500 долларов. Самые популярные решения: Back Orifice, Spy-Net и DarkComet.Самая большая сложность с RAT-ПО в том, что есть целая группа программ для удаленного доступа к ПК, которые созданы на базе легального ПО, например TeamViewer. Получается, что вредоносная программа работает в скрытом режиме и при этом не отслеживается антивирусами, потому что распознается как легальная. Подписка на такие решения в среднем обходится в 1000 долларов в месяц.

  Бывает, что покупателям ВПО требуется контролировать группу устройств. В таком случае рынок предлагает RAT-ВПО в связке со специальными программами для централизованного управления зараженными устройствами — ботами. Сеть, которую они составляют, называют ботнетом.

  На теневом рынке их стоимость начинается с 400 долларов за билд, а весь комплект программ для подобной кибератаки обойдется от 1000 до 1500.

  Трояны для взлома банкоматов

  Это самые дорогие программы на теневом рынке — от 1500 долларов. Причина дороговизны в том,что для разработки троянов нужен не только серьезный опыт в программировании, но и умение разбираться в устройстве банкоматов разных производителей.

  Третий фактор влияния на окончательную стоимость банковских троянов — ожидаемый доход от их использования. Один и тот же троян можно применять для атак на типовые банкоматы, что позволяет многократно покрыть затраты на покупку вредоноса. Популярность подтверждается цифрами: общий ущерб от использования этого ВПО по сравнению с 2016 годом вырос на 230%.

  Трояны-вымогатели

  Самый популярный вид ВПО, с которым сталкиваются компании и обычные пользователи. IBM провела исследование и установила, что 70 % компаний в США выплачивают выкуп, чтобы вернуть свои данные. В Positive Technologies утверждают, что у нас в стране тоже есть немало случаев, когда компания предпочла заплатить.

  Затраты на приобретение трояна-вымогателя, а это в среднем 270 долларов, быстро и многократно окупаются после первых же успешных атак, поскольку требуемый выкуп варьируется в диапазоне 200 — 500 долларов.

  На теневом рынке помимо продажи готовых продуктов действует модель распространения «ВПО как услуга» (Malware-as-a-service, MaaS). В этом случае покупатель платит за один из трех вариантов:

  • Количество сгенерированных файлов
  • Период работы
  • Определенное число запусков

  Распространители шифровальщиков пошли дальше и теперь продают свои решения по «партнерской программе». Такая модель в общем объеме предложений по продаже ВПО занимает 63 % по сравнению с продажей полных версий продуктов и их сдачей в аренду. Это понятно: здесь не нужны навыки программирования и хакинга — за 90 долларов покупатель получает настроенный персонально под него и готовый для рассылок троян, который окупается с первым же выкупом (распространитель получает от 50 до 85% от потраченной суммы).

  Эксплойты

  Речь идет о программах или программных кодах для поиска уязвимости в ПО и организации атак на компьютерную систему.

  Любые ценные сведения об уязвимостях в софте и соответствующие эксплойты неизменно ценятся на теневом рынке. Их средняя стоимость в 2018 году составила 2500 долларов:

  • 38 % эксплойтов создано для поиска уязвимостей в ОС Windows и работающих в ней ПО
  • 19 % — для кроссплатформенных решений (Adobe Flash и Java) и используются для атак на ОС семейства Windows, Linux, Android и macOS
  • Для macOS доля уязвимостей составила 5% от общего объема, стоимость эксплойтов здесь доходила до 5300 долларов

  Самыми ценными считаются эксплойты для уязвимостей так называемого нулевого дня: для них производитель еще не выпустил обновления. Эффективности эксплойтов способствует еще и тот факт, что пользователи далеко не всегда устанавливают обновления для устранения уязвимостей.

  В 2017 году в результате атаки с эксплойтом WannaCry было заражено полмиллиона устройств с ОС Windows, хотя компания Microsoft заблаговременно разместила у себя на сайте обновление для устранения уязвимостей, а потом выпустила обновления даже для ОС с истекшим сроком поддержки.

  Ситуация на рынке ВПО

  Самое интересное в исследованиях Positive Technologies — диаграмма соотношения спроса и предложения услуг на теневом рынке:

  Как видно, самый высокий спрос на программы для взлома, он почти в три раза превышает предложение. Это говорит о том, что заинтересованные лица постоянно ищут новые схемы совершения преступлений, новые средства для проведения и совершенствования кибератак.

  Рынок вредоносного программного обеспечения увеличивается за счет сопутствующих услуг:

  • Создание ВПО (в том числе и обратная разработка). Примерная стоимость услуги – 500 долларов.
  • Распространение ВПО (вложения в электронных письмах, ссылки на скачивание файлов, поддельные файлы и т. п.). Создание фишингового сайта в дарквебе обойдется от 50 до 150 долларов.
  • Обфускация ВПО (приведение исполняемого кода программы к виду, сохраняющему ее функциональность, но затрудняющему анализ). Услугу обычно включают в стоимость разработки, но могут предлагать отдельно по цене от 50 долларов.

  Как следствие, растет количество киберпреступлений. Согласно исследованию «Лаборатории Касперского», в третьем квартале 2019 года их выявлено на треть больше по сравнению с аналогичным периодом 2018 года.

  Все это вовсе не означает, что с текущим положением вещей нужно мириться. Выполненные мероприятия по информационной безопасности помогут сегодня выявить уязвимость в ИТ-инфраструктуре, а завтра защититься от большинства киберугроз. Главное делать это на постоянной основе.