Сколько стоит взлом: рынок программ для кибератак
Взгляните на картинку:
Перед вами закрепленные темы с форума для хакеров Blackhacker, который без труда можно найти в поиске «Яндекса». Люди покупают, продают и обмениваются программами для взлома — целый рынок. Нет ли здесь связи с растущим год от года количество киберпреступлений? Давайте разбираться.
Из чего состоит теневой рынок киберуслуг
В 2018 году компания Positive Technologies провела исследование хакерского рынка, чтобы понять, нужны ли злоумышленникам профильные знания для кибератак, или же они могут обратиться к владельцам ботнетов, взломщикам сайтов, а также к разработчикам и распространителям вредоносного программного обеспечения (ВПО). Последние предлагают множество решений:
- Стилеры (трояны для кражи данных)
- RAT и ПО для ботнета
- Трояны для взлома банкоматов
- Трояны-вымогатели
- Криптомайнеры
- Хакерские утилиты
- ВПО для DDoS-атак
- Лоадеры (трояны для загрузки других вредоносов)
Исследование также показало, что на теневом рынке, помимо ВПО, востребованы эксплойты, активно идет продажа данных и доступов для несанкционированного проникновения на сайты и серверы.
Криптомайнеры
2017-й стал годом расцвета различных криптовалют, поэтому резко возросло число программ для скрытого майнинга. На рынке ВПО в 2018 году их доля составляла 20 %, а доля атак с их применением — 23 %. Средняя цена на криптомайнеры, согласно исследованию «Коммерсанта», — 80 долларов.
Трояны для кражи данных
Операции с криптовалютами вызвали интерес, который в свою очередь спровоцировал распространение вредоносного ПО для хищения средств из пользовательских криптокошельков. Возможности таких программ:
- Перехват клавиатурных нажатий и запоминание заголовка окна, в котором происходили нажатия
- Перехват паролей из буфера обмена
- Обход/деактивация антивирусных программ с помощью преобразований исполняемых файлов — например, с применением шифрования и «замусоривания» исполняемого файла, изменения точек входа в процедуры и функции
- Отправка нужных файлов на электронные ящики злоумышленников
Средняя цена на стилеры — трояны, крадущие ценные данные пользователя, — 10 долларов. Эта сумма многократно окупается, потому что похищенные данные стоят от нескольких десятков (пароли от почтовых ящиков, соцсетей и порталов) до нескольких тысяч долларов (пароли от криптокошельков и платежных систем).
«Ратники» и ПО для ботнета
- Хакерское RAT-ПО (remote access trojan) используют, когда нужно не только похитить данные, но и получить долговременный и скрытый доступ к компьютеру или серверу для удаленного выполнения команд и наблюдения за пользователем:
- Отслеживания пользовательских действий
- Записи экранных состояний
- Запуска файлов
- Активации кая ЛВС
- Скачивания файлов из интернета
- На рынке даркнета такое ПО стоит около 500 долларов. Самые популярные решения: Back Orifice, Spy-Net и DarkComet.Самая большая сложность с RAT-ПО в том, что есть целая группа программ для удаленного доступа к ПК, которые созданы на базе легального ПО, например TeamViewer. Получается, что вредоносная программа работает в скрытом режиме и при этом не отслеживается антивирусами, потому что распознается как легальная. Подписка на такие решения в среднем обходится в 1000 долларов в месяц.
Бывает, что покупателям ВПО требуется контролировать группу устройств. В таком случае рынок предлагает RAT-ВПО в связке со специальными программами для централизованного управления зараженными устройствами — ботами. Сеть, которую они составляют, называют ботнетом.
На теневом рынке их стоимость начинается с 400 долларов за билд, а весь комплект программ для подобной кибератаки обойдется от 1000 до 1500.
Трояны для взлома банкоматов
Это самые дорогие программы на теневом рынке — от 1500 долларов. Причина дороговизны в том,что для разработки троянов нужен не только серьезный опыт в программировании, но и умение разбираться в устройстве банкоматов разных производителей.
Третий фактор влияния на окончательную стоимость банковских троянов — ожидаемый доход от их использования. Один и тот же троян можно применять для атак на типовые банкоматы, что позволяет многократно покрыть затраты на покупку вредоноса. Популярность подтверждается цифрами: общий ущерб от использования этого ВПО по сравнению с 2016 годом вырос на 230%.
Трояны-вымогатели
Самый популярный вид ВПО, с которым сталкиваются компании и обычные пользователи. IBM провела исследование и установила, что 70 % компаний в США выплачивают выкуп, чтобы вернуть свои данные. В Positive Technologies утверждают, что у нас в стране тоже есть немало случаев, когда компания предпочла заплатить.
Затраты на приобретение трояна-вымогателя, а это в среднем 270 долларов, быстро и многократно окупаются после первых же успешных атак, поскольку требуемый выкуп варьируется в диапазоне 200 — 500 долларов.
На теневом рынке помимо продажи готовых продуктов действует модель распространения «ВПО как услуга» (Malware-as-a-service, MaaS). В этом случае покупатель платит за один из трех вариантов:
- Количество сгенерированных файлов
- Период работы
- Определенное число запусков
Распространители шифровальщиков пошли дальше и теперь продают свои решения по «партнерской программе». Такая модель в общем объеме предложений по продаже ВПО занимает 63 % по сравнению с продажей полных версий продуктов и их сдачей в аренду. Это понятно: здесь не нужны навыки программирования и хакинга — за 90 долларов покупатель получает настроенный персонально под него и готовый для рассылок троян, который окупается с первым же выкупом (распространитель получает от 50 до 85% от потраченной суммы).
Эксплойты
Речь идет о программах или программных кодах для поиска уязвимости в ПО и организации атак на компьютерную систему.
Любые ценные сведения об уязвимостях в софте и соответствующие эксплойты неизменно ценятся на теневом рынке. Их средняя стоимость в 2018 году составила 2500 долларов:
- 38 % эксплойтов создано для поиска уязвимостей в ОС Windows и работающих в ней ПО
- 19 % — для кроссплатформенных решений (Adobe Flash и Java) и используются для атак на ОС семейства Windows, Linux, Android и macOS
- Для macOS доля уязвимостей составила 5% от общего объема, стоимость эксплойтов здесь доходила до 5300 долларов
Самыми ценными считаются эксплойты для уязвимостей так называемого нулевого дня: для них производитель еще не выпустил обновления. Эффективности эксплойтов способствует еще и тот факт, что пользователи далеко не всегда устанавливают обновления для устранения уязвимостей.
В 2017 году в результате атаки с эксплойтом WannaCry было заражено полмиллиона устройств с ОС Windows, хотя компания Microsoft заблаговременно разместила у себя на сайте обновление для устранения уязвимостей, а потом выпустила обновления даже для ОС с истекшим сроком поддержки.
Ситуация на рынке ВПО
Самое интересное в исследованиях Positive Technologies — диаграмма соотношения спроса и предложения услуг на теневом рынке:
Как видно, самый высокий спрос на программы для взлома, он почти в три раза превышает предложение. Это говорит о том, что заинтересованные лица постоянно ищут новые схемы совершения преступлений, новые средства для проведения и совершенствования кибератак.
Рынок вредоносного программного обеспечения увеличивается за счет сопутствующих услуг:
- Создание ВПО (в том числе и обратная разработка). Примерная стоимость услуги – 500 долларов.
- Распространение ВПО (вложения в электронных письмах, ссылки на скачивание файлов, поддельные файлы и т. п.). Создание фишингового сайта в дарквебе обойдется от 50 до 150 долларов.
- Обфускация ВПО (приведение исполняемого кода программы к виду, сохраняющему ее функциональность, но затрудняющему анализ). Услугу обычно включают в стоимость разработки, но могут предлагать отдельно по цене от 50 долларов.
Как следствие, растет количество киберпреступлений. Согласно исследованию «Лаборатории Касперского», в третьем квартале 2019 года их выявлено на треть больше по сравнению с аналогичным периодом 2018 года.
Все это вовсе не означает, что с текущим положением вещей нужно мириться. Выполненные мероприятия по информационной безопасности помогут сегодня выявить уязвимость в ИТ-инфраструктуре, а завтра защититься от большинства киберугроз. Главное делать это на постоянной основе.