Echipa Kaspersky Digital Footprint Intelligence a prezentat un nou studiu care dezvaluie ransomware-ul ca fiind cel mai raspandit Malware-as-a-Service (MaaS) din ultimii sapte ani. Studiul se bazeaza pe cercetarile efectuate pe 97 de familii de malware distribuite pe dark web si alte platforme. In plus, cercetatorii au descoperit ca infractorii cibernetici inchiriaza adesea infostealers (software capabil sa fure informatii), retele botnet, loaders si backdoors pentru a-si realiza atacurile.
Malware-as-a-Service (MaaS) este un model ilicit de business care implica inchirierea de software pentru a efectua atacuri cibernetice. De obicei, clientilor unor astfel de servicii li se ofera un cont personal prin care pot controla atacul, precum si suport tehnic. Astfel, scade pragul initial de expertiza de care au nevoie infractorii cibernetici.
Expertii Kaspersky au examinat volumele de vanzari ale diferitelor familii de malware, precum si mentiunile, discutiile, postarile si anunturile de cautare pe darknet si alte resurse referitoare la MaaS pentru a identifica cele mai populare tipuri. Liderul s-a dovedit a fi ransomware sau software rau intentionat care cripteaza datele si solicita plata unei recompense pentru decriptare. Acesta a reprezentat 58% din toate familiile distribuite sub modelul MaaS intre 2015 si 2022. Popularitatea ransomware-ului poate fi atribuita capacitatii sale de a genera profituri mai mari intr-un interval de timp mai scurt decat alte tipuri de malware.
Criminalii cibernetici se pot „abona” la Ransomware-as-a-service (RaaS) gratuit. Odata ce devin parteneri in program, platesc serviciul dupa ce are loc atacul. Suma este determinata drept procent din rascumpararea platita de victima, de obicei variind de la 10% la 40% din fiecare tranzactie. Cu toate acestea, intrarea in program nu este o sarcina simpla, deoarece presupune indeplinirea unor cerinte riguroase.
Distributia familiilor de malware, 2015-2022, cu exemple ale celor mai populare familii din fiecare tip1. Sursa: Kaspersky Digital Footprint Intelligence
Infostealers au reprezentat 24% din familiile de programe malware distribuite ca serviciu in perioada analizata. Acestea sunt programe rau intentionate concepute pentru a fura date, precum acreditarile, parolele, cardurile si conturile bancare, istoricul browserului, datele criptomonedelor si multe altele.
Serviciile Infostealer sunt platite printr-un model de abonament. Au preturi intre 100 si 300 de dolari pe luna. De exemplu, Raccoon Stealer, care a fost intrerupt la inceputul lunii februarie 2023, putea fi achizitionat pentru 275 de dolari pe luna sau 150 de dolari pe saptamana. Concurentul sau, RedLine, are un pret lunar de 150 de dolari si exista si optiunea de a achizitiona o licenta pe viata pentru 900 de dolari, potrivit informatiilor postate pe Darknet de operatorii sai. Atacatorii folosesc, de asemenea, servicii suplimentare pentru preturi suplimentare.
18% din familiile de programe malware vandute „as a service” s-au dovedit a fi retele bot, loaders sau backdoors. Aceste amenintari sunt combinate intr-un singur grup, deoarece au adesea un obiectiv comun: sa incarce si sa ruleze alte programe malware pe dispozitivul victimei.
Infractorii cibernetici care opereaza platforme MaaS sunt denumiti in mod obisnuit operatori, in timp ce utilizatorii care achizitioneaza aceste servicii sunt cunoscuti ca afiliati. Dupa incheierea unei intelegeri cu operatorii, afiliatii primesc acces la toate componentele necesare ale MaaS, cum ar fi panouri de comanda si control (C2), constructori (programe pentru crearea rapida a mostrelor unice de malware), upgrade-uri de malware si interfete, asistenta, instructiuni, si hosting. Panourile sunt o componenta esentiala care le permite atacatorilor sa controleze si sa coordoneze activitatile dispozitivelor infectate. De exemplu, infractorii cibernetici pot sa exfiltreze date, sa negocieze cu o victima, sa contacteze asistenta tehnica, sa creeze mostre unice de malware si multe altele.
Unele tipuri de MaaS, cum ar fi infostealers, permit afiliatilor sa-si creeze propriul tip de echipa. Membrii unei astfel de echipe sunt numiti traficanti – criminali cibernetici care distribuie malware pentru a creste profiturile si a genera interes, bonusuri si alte plati de la afiliati. Traficantii nu au acces la panoul C2 sau la alte instrumente. Singurul lor scop este sa extinda raspandirea malware-ului. Cel mai adesea, ei reusesc acest lucru deghizand mostre in crack-uri si instructiuni pentru hacking de programe legitime de pe YouTube si alte site-uri web.
Aflati mai multe despre functionarea Malware-as-a-Service pe Securelist. Pentru a va proteja organizatia de amenintarile asociate, expertii Kaspersky recomanda:
• Tineti intotdeauna software-ul actualizat pe toate dispozitivele pe care le utilizati pentru a preveni infiltrarea atacatorilor in reteaua dumneavoastra prin exploatarea vulnerabilitatilor. Instalati patch-uri pentru noile vulnerabilitati cat mai curand posibil. Odata descarcate acestea, actorii amenintarilor nu mai pot abuza de vulnerabilitati.
• Utilizati cele mai recente informatii despre Threat Intelligence pentru a fi la curent cu TTP-urile reale utilizate de actorii amenintarilor.
• Utilizati Kaspersky Digital Footprint Intelligence pentru a-i ajuta pe analistii de securitate sa exploreze viziunea adversarului asupra resurselor companiei lor, sa descopere cu promptitudine potentialii vectori de atac disponibili pentru ei. Acest lucru ajuta, de asemenea, la cresterea gradului de constientizare cu privire la amenintarile existente din partea infractorilor cibernetici, pentru a va ajusta apararea in consecinta sau pentru a lua masuri de contracarare si eliminare in timp util.
• Daca va confruntati cu un incident, serviciul Kaspersky Incident Response va va ajuta sa raspundeti si sa minimizati consecintele, in special pot identifica nodurile compromise si pot proteja infrastructura de atacuri similare in viitor.
1 Retelele botnet IoT nu sunt incluse, deoarece nu sunt distribuite sub modelul MaaS, ci modelul DDoS-as-a-Service, care nu este clasificat ca MaaS.