Из чего состоит Malware-as-a-Service

Деньги — основная причина большинства киберпреступлений. Именно поэтому в определенный момент создатели вредоносного программного обеспечения (ВПО) начали не только распространять его самостоятельно, но и продавать технически непросвещенным злоумышленникам, таким образом снизив порог вхождения в киберпреступное сообщество. По той же причине появилась и бизнес-модель Malware-as-a-Service (MaaS), которая позволила разработчикам зловредов получать прибыль от всех атак своих партнеров и снизила планку еще больше. Мы разобрали, как устроены сервисы Malware-as-a-Service, какое вредоносное ПО чаще всего распространяют по такой модели и как рынок услуг Malware-as-a-Service зависит от внешних событий.

Результаты исследования

Изучив данные из различных источников, включая теневой сегмент интернета, мы выделили 97 семейств, распространявшихся по модели MaaS начиная с 2015 года, и распределили их по пяти категориям с точки зрения цели ВПО: программы-вымогатели, инфостилеры, загрузчики, бэкдоры и ботнеты.

Как и ожидалось, большинство семейств, распространявшихся по модели MaaS, — это программы-вымогатели (58%), 24% составляют инфостилеры, а оставшиеся 18% разделили между собой ботнеты, загрузчики и бэкдоры.

Распределение семейств ВПО, распространявшихся по модели MaaS в период между 2015 и 2022 гг.

Несмотря на то что большинство обнаруженных семейств относится к программам-вымогателям, в даркнет-сообществах чаще всего упоминались семейства инфостилеров. Шифровальщики занимают второе место по активности на теневых форумах. Начиная с 2021 года число их упоминаний растет, в то время как число упоминаний ботнетов, бэкдоров и загрузчиков постепенно сокращается.

Динамика количества упоминаний семейств, распространявшихся по модели Malware-as-a-Service, в даркнете и глубоком вебе, январь 2018 г. — август 2022 г.

Количество упоминаний различных семейств ВПО на теневых форумах коррелирует с резонансными кибератаками и другими событиями в жизни киберпреступного сообщества. С помощью оперативного и ретроспективного анализа мы выделили ключевые события, приводившие к всплеску обсуждаемости зловредов для каждой категории ВПО.

Так, в случае программ-вымогателей мы проследили динамику упоминаний различных зловредов на примере пяти печально известных семейств: GandCrab, Nemty, REvil, Conti, LockBit. На графике ниже мы отметили основные события, связанные с вымогателями, которые повлияли на обсуждаемость этих семейств.

Динамика количества упоминаний пяти семейств программ-вымогателей, распространявшихся по модели MaaS, 2018–2022 гг.

Как видно на графике, прекращение деятельности группировок, арест участников и удаление постов на теневых форумах о распространении вымогателей не останавливают активность злоумышленников полностью. На смену ушедшей группировке приходит новая, причем нередко в нее переходят участники старой.

Терминология и схема работы Malware-as-a-Service

Злоумышленников, предоставляющих ВПО как услугу, обычно называют операторами. Клиент, пользующийся сервисом, — партнер или адверт, а сам сервис — партнерская программа. Мы изучили множество объявлений с предложениями MaaS и выделили 8 компонентов, присущих этой модели распространения ВПО. В частности, мы выяснили, что оператор MaaS — это, как правило, команда, состоящая из нескольких человек, роли в которой четко распределены.

Для каждой из пяти категорий зловредов мы подробно разобрали этапы участия в партнерской программе — от вступления до достижения конечной цели злоумышленников. Мы выяснили, что входит в предоставляемый операторами сервис, как злоумышленники взаимодействуют между собой и к какой сторонней помощи они прибегают. Каждый шаг этой цепочки продуман до деталей, и каждый участник в ней выполняет свою роль.

Ниже приведена схема работы партнерской программы для инфостилеров.

Инфостилеры. Схема работы партнерской программы

Для распространения инфостилеров злоумышленники часто используют YouTube. Они взламывают аккаунты пользователей и загружают на них однотипные видео, рекламирующие кряки и инструкции по взлому различных программ. В случае со стилерами, которые операторы предоставляют по модели MaaS, распространением активно занимаются начинающие злоумышленники — трафферы, которых нанимают партнеры. В некоторых случаях их можно деанонимизировать, имея на руках только экземпляр ВПО, который они распространяют.

Telegram-профиль распространителя инфостилеров

Мониторинг даркнета и знание о том, как устроена модель Malware-as-a-Service, какие возможности есть у злоумышленников, позволяет специалистам ИБ и исследователям понять, как они мыслят и предугадать их дальнейшие действия, что помогает превентивно реагировать на возникающие угрозы. Если вы хотите узнать больше о нашем сервисе мониторинга даркнета, напишите нам: dfi@kaspersky.com.

Чтобы загрузить полную версиу отчета «Из чего состоит Malware-as-a-Service» (PDF), заполните форму.