Посты о SOC, TI и IR

Из чего состоит Malware-as-a-Service

Деньги — основная причина большинства киберпреступлений. Именно поэтому в определенный момент создатели вредоносного программного обеспечения (ВПО) начали не только распространять его самостоятельно, но и продавать технически непросвещенным злоумышленникам, таким образом снизив порог вхождения в киберпреступное сообщество. По той же причине появилась и бизнес-модель Malware-as-a-Service (MaaS), которая позволила разработчикам зловредов получать прибыль от всех атак своих партнеров и снизила планку еще больше. Мы разобрали, как устроены сервисы Malware-as-a-Service, какое вредоносное ПО чаще всего распространяют по такой модели и как рынок услуг Malware-as-a-Service зависит от внешних событий.

Результаты исследования

Изучив данные из различных источников, включая теневой сегмент интернета, мы выделили 97 семейств, распространявшихся по модели MaaS начиная с 2015 года, и распределили их по пяти категориям с точки зрения цели ВПО: программы-вымогатели, инфостилеры, загрузчики, бэкдоры и ботнеты.

Как и ожидалось, большинство семейств, распространявшихся по модели MaaS, — это программы-вымогатели (58%), 24% составляют инфостилеры, а оставшиеся 18% разделили между собой ботнеты, загрузчики и бэкдоры.

Распределение семейств ВПО, распространявшихся по модели MaaS в период между 2015 и 2022 гг.

Распределение семейств ВПО, распространявшихся по модели MaaS в период между 2015 и 2022 гг.

Несмотря на то что большинство обнаруженных семейств относится к программам-вымогателям, в даркнет-сообществах чаще всего упоминались семейства инфостилеров. Шифровальщики занимают второе место по активности на теневых форумах. Начиная с 2021 года число их упоминаний растет, в то время как число упоминаний ботнетов, бэкдоров и загрузчиков постепенно сокращается.

Динамика количества упоминаний семейств, распространявшихся по модели Malware-as-a-Service, в даркнете и глубоком вебе, январь 2018 г. — август 2022 г.

Динамика количества упоминаний семейств, распространявшихся по модели Malware-as-a-Service, в даркнете и глубоком вебе, январь 2018 г. — август 2022 г.

Количество упоминаний различных семейств ВПО на теневых форумах коррелирует с резонансными кибератаками и другими событиями в жизни киберпреступного сообщества. С помощью оперативного и ретроспективного анализа мы выделили ключевые события, приводившие к всплеску обсуждаемости зловредов для каждой категории ВПО.

Так, в случае программ-вымогателей мы проследили динамику упоминаний различных зловредов на примере пяти печально известных семейств: GandCrab, Nemty, REvil, Conti, LockBit. На графике ниже мы отметили основные события, связанные с вымогателями, которые повлияли на обсуждаемость этих семейств.

Динамика количества упоминаний пяти семейств программ-вымогателей, распространявшихся по модели MaaS, 2018–2022 гг.

Динамика количества упоминаний пяти семейств программ-вымогателей, распространявшихся по модели MaaS, 2018–2022 гг.

Как видно на графике, прекращение деятельности группировок, арест участников и удаление постов на теневых форумах о распространении вымогателей не останавливают активность злоумышленников полностью. На смену ушедшей группировке приходит новая, причем нередко в нее переходят участники старой.

Терминология и схема работы Malware-as-a-Service

Злоумышленников, предоставляющих ВПО как услугу, обычно называют операторами. Клиент, пользующийся сервисом, — партнер или адверт, а сам сервис — партнерская программа. Мы изучили множество объявлений с предложениями MaaS и выделили 8 компонентов, присущих этой модели распространения ВПО. В частности, мы выяснили, что оператор MaaS — это, как правило, команда, состоящая из нескольких человек, роли в которой четко распределены.

Для каждой из пяти категорий зловредов мы подробно разобрали этапы участия в партнерской программе — от вступления до достижения конечной цели злоумышленников. Мы выяснили, что входит в предоставляемый операторами сервис, как злоумышленники взаимодействуют между собой и к какой сторонней помощи они прибегают. Каждый шаг этой цепочки продуман до деталей, и каждый участник в ней выполняет свою роль.

Ниже приведена схема работы партнерской программы для инфостилеров.

Инфостилеры. Схема работы партнерской программы

Инфостилеры. Схема работы партнерской программы

Для распространения инфостилеров злоумышленники часто используют YouTube. Они взламывают аккаунты пользователей и загружают на них однотипные видео, рекламирующие кряки и инструкции по взлому различных программ. В случае со стилерами, которые операторы предоставляют по модели MaaS, распространением активно занимаются начинающие злоумышленники — трафферы, которых нанимают партнеры. В некоторых случаях их можно деанонимизировать, имея на руках только экземпляр ВПО, который они распространяют.

Telegram-профиль распространителя инфостилеров

Telegram-профиль распространителя инфостилеров

Мониторинг даркнета и знание о том, как устроена модель Malware-as-a-Service, какие возможности есть у злоумышленников, позволяет специалистам ИБ и исследователям понять, как они мыслят и предугадать их дальнейшие действия, что помогает превентивно реагировать на возникающие угрозы. Если вы хотите узнать больше о нашем сервисе мониторинга даркнета, напишите нам: dfi@kaspersky.com.

Чтобы загрузить полную версиу отчета «Из чего состоит Malware-as-a-Service» (PDF), заполните форму.


Из чего состоит Malware-as-a-Service

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Геннадий

    Добрый день, спасибо за отчёт!

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике