06.03.2025
1 хв
606
Сучасна кіберзлочинність стрімко розвивається, використовуючи новітні технології, моделі сервісного бізнесу та автоматизовані атаки. На тіньових ринках вже доступні Ransomware-as-a-Service (RaaS), Phishing-as-a-Service (PhaaS) та Exploit-as-a-Service (EaaS), що дозволяє навіть малодосвідченим зловмисникам здійснювати складні кібератаки.
На перший погляд може здатися, що кібератаки вимагають мінімальних вкладень, але в реальності підготовка та купівля інструментів, особливо для злочинців-початківців, обходяться дорого. Наведена нижче схема описує вартість підготовки (з урахуванням, що злочинець початківець) одного з найпопулярніших векторів атак серед зловмисників.
На цьому етапі зловмисникам необхідно закупити всі інструменти та послуги для проведення кібератаки. Першим кроком стає створення інфраструктури. Для цього вони купують проксі-сервери та VPN, а також орендують виділені сервери (dedicated servers), щоб створити анонімне та захищене середовище для управління атаками. Наступний етап – покупка інструментарію. Одним з ключових елементів є придбання CobaltStrike-фреймворків для постексплуатації та завантажувача. Для того, щоб зробити ВПО повністю невиявленим (FUD – Fully Undetectable) антивірусами, зловмисники також купують EV-сертифікати для підпису файлів та криптери.
Розуміючи, що їх навичок може бути недостатньо (якщо говоримо про новачків), кіберзлочинці звертаються за консультаціями щодо налаштування всієї інфраструктури та використання CobaltStrike. На додаток, вони можуть приєднуватися до банди шифрувальників, щоб використовувати вже готове шкідливе ПЗ і не займатися його розробкою самостійно. Щоб приєднатися до угруповання, недостатньо лише бажання, потрібні ще: вступний внесок та репутація у підпіллі. Тому зловмисники можуть купити або вихідний код шифрувальника, або білдер.
Для отримання доступу до інфраструктури організації злочинці можуть піти кількома шляхами: надіслати фішингові повідомлення жертвам, шукати вразливості на мережному периметрі або купувати доступи на тіньових ресурсах. Наприклад, зловмисники можуть сканувати відкриті порти на наявність застарілого або вразливості. У випадку, якщо в системі не виявлено відомих уразливостей, хакери можуть скористатися послугами підвищення привілеїв, доступними на тіньових ринках.
Підготовчий етап потребує значних витрат. Загальні витрати на інфраструктуру, купівлю інструментів та послуги, а також консультації можуть становити від 20 000 доларів. Зазначимо, що ціна може змінюватись в залежності від продуктів, що купуються. Використання шифрувальника у форматі RaaS означає, що 10-30% від підсумкового викупу йде розробникам шкідливого ПЗ.
За даними Coveware, у другому кварталі 2024 року середня сума викупу зросла і склала 391 015 $ (зростання на 2,4% порівняно з першим кварталом того ж року), а медіанна сума викупу знизилася до 170 000 $ (зниження на 32% у порівнянні з першим кварталом). Тому кіберзлочинці можуть отримати 120 000-150 000 $ після виплати комісії розробникам ПЗ. Якщо вирахувати витрати на всі необхідні інструменти та послуги, чистий прибуток зловмисника може становити 100 000-130 000 $ при успішній атаці.
Для організацій наслідки таких атак можуть бути набагато серйознішими, ніж виплата викупу. Наприклад, у червні 2024 року технологічна компанія CDK Global стала жертвою здирницької атаки, яка паралізувала роботу серверів компанії на два тижні. Внаслідок інциденту близько 15 000 автодилерів по всій території США зіткнулися із зупинкою продажів. Варто зазначити, що компанія заплатила викуп у розмірі 25 мільйонів доларів, а фінансові втрати дилерів через простою системи CDK за перші два тижні оцінюються більш ніж у 600 мільйонів доларів.
Як відомо, з 2015 року послуги на тіньових ресурсах почали переймати передплату з легального бізнесу. У ході цієї трансформації з’явилися різні підпискові бізнес-моделі, виділимо чотири найбільш популярні підходи: MaaS (Malware-as-a-Service), RaaS (Ransomware-as-a-Service), PhaaS (Phishing-as-a-Service), DaaS (DDoS-as-a-Service). Завдяки перевагам передплатної моделі розповсюдження продуктів, сучасному зловмиснику вже не потрібно самостійно розробляти необхідні інструменти для атак. Тепер підпілля більше нагадує легальний бізнес, де надається підтримка клієнтів, виходять регулярні оновлення (як було з’ясовано вище).
З кожним кварталом відзначається поява нових сервісів. Наприклад, фішингові набори, що розповсюджуються за моделлю PhaaS (Phishing-as-a-Service, фішинг як послуга): Tycoon 2FA або ONNX. А дехто з них стає великою проблемою для організацій. Так, влітку 2023 року компанія Proofpoint попередила про велику кампанію, в ході якої за допомогою одного з фішингових наборів було відправлено близько 120 000 шахрайських електронних листів сотням організацій по всьому світу. Досить важливо, що фахівці Proofpoint відзначали використання цього інструменту угрупуванням TA4903.
Далі розберемо як ринок підпілля продовжує розвиватись зараз.
В екосистемі підпілля існує свій монополіст у сфері шифрувальників (більшість відомих великих гравців саме там рекламують свої продукти). Але доступ на форум отримують користувачі з високою репутацією на інших великих тіньових форумах або внесення оплати в розмірі 500 $. Цей хід відсікає ряд випадкових користувачів. Варто зазначити, що на багатьох англомовних підпільних майданчиках заборона рекламування та продаж програм-вимагачів відсутня. За такого підходу створюється окремий ринок дешевих програм-вимагачів.
Завдяки низькій вартості такі ВПО мають масову доступність і охоплюють широку аудиторію. На відміну від складної інфраструктури великих програм-вимагачів, бюджетні шкідливі програми дозволяють кіберзлочинцям діяти дешево та незалежно. Вони можуть націлюватися на малий та середній бізнес, який навряд чи має ресурси для захисту або ефективного реагування на інциденти.
Після успішної кібератаки зловмисники можуть вимагати невеликий викуп (порівняно з більшими представниками індустрії). Це спонукає компанії виплачувати кошти, наприклад, у розмірі кількох тисяч доларів, адже це буде набагато менше, ніж витрати на розслідування та відновлення даних.
Варто відзначити різницю у вартості вихідного коду подібних до ВПО. Наприклад, на одному з тіньових форумів в оголошенні була вказана ціна вихідного коду шифрувальника в розмірі 8000 $, що майже в 38 разів менше від вартості його «старшого брата» inc ransom.
Медіанна вартість вихідного коду дешевих шифрувальників на одному з тіньових форумів складає 400$. Ціна може починатися від 50$.
Зловмисники активно адаптують свої методи підвищення ефективності атак. Одним із таких кроків стало створення тіньових аналогів популярних сервісів для перевірки файлів на шкідливу активність. Як відомо, легальні майданчики дозволяють користувачам завантажувати файли та перевіряти їх на наявність різних вірусів з використанням безлічі антивірусних движків.
Головна відмінність тіньових перевірок файлів від легальних аналогів полягає лише в тому, що легальні майданчики поділяються на дані з компаніями, які розробляють антивіруси. Щоб не робити цього, неетичні хакери створили підпільні аналоги, які працюють за тим самим принципом: аналізують файли на наявність детектування антивірусами, але не передають результати в організації, які займаються розробкою антивірусів.
Такі рішення ще раз демонструють, як ринок підпілля еволюціонує, переймаючи технології легального бізнесу для підвищення ефективності та закриваючи потреби кіберзлочинців.
Вартість однієї перевірки файлу складає 0,1$. Якщо зловмиснику потрібно перевіряти велику кількість файлів регулярно, для цього пропонується щомісячна передплата від 25$.
Наприклад, у січні 2024 року компанія в галузі кібербезпеки Trellix проаналізувала одну із програм-вимагачів. Але примітний тут не сам аналіз, а оголошення про шкідливу програму на одному з тіньових форумів. Рекламуючи шифрувальник, зловмисник пропонував кастомізацію ВПЗ для кожної окремої атаки. Завдяки цьому (використання білдера) шкідлива програма стає краще підготовленою для атаки на конкретну мету. Це значно збільшує ймовірність успішного проникнення в системи жертви та заподіяння максимально можливої шкоди.
Існують також окремі послуги для кастомізації шкідливих файлів, після використання яких, наприклад, можна буде обходити перевірки VirusTotal (VirusTotal bypass). Це означає, що файл не визначатиметься антивірусними програмами як шкідливий.
Важливою зміною на тіньових ринках стало активне запровадження пробних періодів чи демоверсій продуктів. Надання безкоштовного тестового періоду знижує поріг входу потенційних покупців. Без необхідності негайної оплати вони можуть оцінити продукт без особливого ризику, що є особливо привабливим у рамках переповненості тіньового ринку з безліччю пропозицій, які змагаються за увагу клієнта. Подібні зміни не тільки дозволяють розширити базу клієнтів, а й стимулюють підпілля орієнтуватися на сервісну модель.
Кіберзлочинність постійно розвивається, впроваджуються нові технології для покращення шахрайських схем. Стало відомо, що оператори одного із шкідливих програмних забезпечень у квітні 2024 року запустили власний коін (цифровий актив, криптовалюта) та NFT (non-fungible token — цифровий актив, який може бути представлений у вигляді фотографії, відео та ін.) на базі блокчейну TON (The Open Network).
Такий крок може бути новим способом заробітку для зловмисників. У свою чергу він дає можливість злочинцям побудувати навколо монети унікальну екосистему. Наприклад, можливо, з’явиться оплачувати продукт або отримувати ексклюзивні пропозиції, недоступні для звичайних користувачів.
На одному з тіньових форумів з’явилося нововведення — магазин журналів прямо на панелі управління ВПО. Журнали – набори даних, які зловмисники отримують після злому, наприклад, облікові записи банківських додатків, соціальних мереж, криптогаманців та конфігурації VPN інших сервісів. Добуваються відомості за допомогою стилера (stealer – шкідливе програмне забезпечення для крадіжки даних).
Для злочинців журнали не просто набір даних, а джерело подальшої монетизації. У них може ховатися досить цінна інформація, наприклад доступ до адміністраторської панелі сайту, облікові дані великих облікових записів у соціальних мережах або дані платіжних карток. Крім того, у журналах можуть бути конфіденційні дані, які корисні для атак на організації, наприклад конфігурації VPN, ключі доступу до репозиторій, SSH-ключі та відомості про 2FA (Two-factor authentication – двофакторна автентифікація).
На тіньових ресурсах можна купити вже вкрадені журнали. Часто продають старі, вже використані дані, які втрачають свою актуальність (паролі змінили, сесії закінчилися, гроші з криптогаманців вивели). Можливо, це вплинуло на появу нового елемента в тіньовому середовищі — магазину журналів прямо на панелі керування. Нововведення дозволяє продавати вже використані журнали (але не до кінця відпрацьовані) або кіберзлочинцям, що не підійшли. Створивши підринок журналів стилера, зловмисники розширили свій вплив, що зрештою зводиться до одного: більше клієнтів, більше фінансового прибутку, а й більше потенційних жертв.
Поширення сервісної моделі знижує необхідний рівень знань для злочинців і такий підхід пояснює, чому кількість кібератак не знижується. Так, кількість інцидентів у 2024 році більша на 16%, ніж роком раніше.
Ми припускаємо, що найближчим часом з’являться нові види сервісів, що дозволяють проводити кібератаки буквально «в один клік». Можливо, такі рішення будуть настільки автоматизовані завдяки розвитку штучного інтелекту , що зловмисникові достатньо буде вибрати мету та натиснути «Запустити атаку». Рішення відчинить двері для тих, хто раніше не міг брати участь у злочинній діяльності через брак знань чи навичок.
У майбутньому тіньові сервіси, можливо, зможуть вийти на новий рівень екосистемності, надаючи зловмисникам шанс отримувати всі необхідні інструменти та послуги у межах одного постачальника. Такі сервіси інтегруватимуть оплату, магазини журналів, доступ до експлойтів та встановлення додаткових модулів для шкідливого ПЗ в єдиній системі.
Ще одним можливим варіантом може стати розвиток EaaS (Exploit-as-a-Service – експлойт як послуга). Як відомо, вартість 0-day-уразливостей може доходити до мільйонів доларів, але не всі зловмисники мають такі кошти. Модель EaaS дозволить кіберзлочинцям здавати в оренду експлойти замість продажу одній людині. У свою чергу це призведе до збільшення кількості зловмисників, здатних експлуатувати вразливості, а також до збагачення розробників експлойтів.
Провісником сервісу вже можна назвати використання зловмисниками експлойт-китів (exploit kits – програмний пакет, який використовується кіберзлочинцями для автоматизації експлуатації вразливостей сайтів та веб-додатків). Одним із прикладів є RIG EK. За даними компанії PRODAFT, набір експлойтів досяг високого рівня використання в 2022 році (третина успішних атак), при цьому щодня користувачі робили близько 2000 спроб злому за його допомогою.
Перше, що надається при згадці Access-as-a-Service (доступ як послуга), — продаж доступів до корпоративної інфраструктури компаній. Однак ця послуга розвивається, з’являється продаж облікових записів. Починаючи з грудня 2023 року на тіньових ресурсах було розміщено безліч оголошень про продаж акаунтів до одного з найпопулярніших дарквеб-майданчиків.
Для загального розуміння: щоб стати учасником форуму, претенденти мають продемонструвати технічні навички, а також мати репутацію у кіберзлочинній спільноті. Припускається, що ринок продажу облікових записів від популярних тіньових майданчиків продовжуватиме розвиватися, що може призвести до зростання кількості зловмисників, і, відповідно, до збільшення кількості кібератак. Адже тепер вхід на закриті форуми відкрито і менш кваліфікованим хакерам.
Протягом першого півріччя 2024 року часто було чути про використання зловмисниками фреймворку Sliver. Це фреймворк для пентесту з відкритим вихідним кодом, що дозволяє створювати та керувати імплантами, які можуть виконувати різні дії на заражених системах: підвищення привілеїв, крадіжку облікових даних, переміщення всередині периметра. І за підсумками третього кварталу Sliver став одним із трендів у кіберзлочинців.
Зараз ситуація складається таким чином: на тіньових ресурсах почали активно цікавитися Nighthawk . Хоча на момент написання дослідження невідомо, чи були витоку цього інструменту, інтерес зловмисників і готовність платити чималі гроші (наприклад, в одному з оголошень пропонували 50 000 $) говорять про те, що незабаром ми побачимо Nighthawk в руках висококваліфікованих APT-угруповань або менш досвідчених хакерів (після витоку).
Nighthawk — троян віддаленого доступу (RAT), що комерційно розповсюджується, створений компанією MDSec.
Інтерес у кіберзлочинців викликає Brute Ratel C4. Інструмент має схожі можливості з CobaltStrike і був розроблений спеціально для обходу систем виявлення загроз, таких як EDR-система та антивіруси. Але на відміну від Nighthawk Brute Ratel C4 став доступним широкому колу осіб (версія 1.4.5 у липні 2024 року була викладена у відкритий доступ на тіньових форумах). Варто зазначити, що цей інструмент уже використовують у кібератаках.
Наприклад, у липні 2024 року команда Knownsec 404 Advanced Threat Intelligenc виявила потенційну атаку на Бутан, організовану угрупуванням Patchwork (APT-C-09), яка використовувала Brute Ratel C4.
Протягом 2024 року в квартальних аналітиках відзначалось зростання інтересу зловмисників до штучного інтелекту та інструментів на його базі, який і далі не спадатиме з низки причин: ІІ може автоматизувати безліч завдань, таких як сканування на наявність уразливостей, створення фішингових листів або аналіз даних. Крім того, розробники ВПО активно впроваджують технологію оптичного розпізнавання символів (OCR — optical character recognition). А у вересні того ж року дослідники McAfee виявили новий тип ВПО SpyAgent для Android, який використовує OCR для крадіжки фраз мнемонічних ключів (забезпечує відновлення доступу до криптогаманця як резервний ключ) з зображень на пристрої.
Примітно, що на тіньових ресурсах було знайдено шкідливе програмне забезпечення, в якому використовуються алгоритми машинного навчання. Як стверджує продавець, ВПО здатне самопоширюватися через мережу зараженого пристрою і може самокопіюватися на будь-які підключені зовнішні носії.
Але не слід забувати і про автоматизовані легальні засоби. Існує інструмент для автоматизації тестування на проникнення від компанії Ridge Security – RidgeBot. Наприклад, продукт сам ідентифікує та експлуатує вразливості у системах. Однак варто відзначити, що RidgeBot був викладений на тіньових ресурсах (вартість складає 1000$). Витік робить інструмент доступним для зловмисників, що може призвести до серйозних наслідків. Використовуючи автоматизований інструмент, кіберзлочинці здатні вкрасти конфіденційні дані у компаній і надалі вимагати викуп за їхнє повернення. Крім того, зловмисники можуть завдати серйозних збитків системам, що призведе до витрат на відновлення вартістю мільйони доларів.
Можливо, виток подібних продуктів створить конкуренцію на ринку кіберзлочинності, через що спонукають розробників ВПО все більше впроваджувати модулі ІІ в інструменти для збільшення збитків від атак і залучення нових клієнтів (не завжди професіоналів).
На тіньових ресурсах зловмисники активно цікавляться та продають EV-сертифікати. Для отримання EV Code Signing видавці та розробники програмного забезпечення проходять строгу перевірку та атестацію. Центр сертифікації (CA — certificate authority) вимагає надати дані, що підтверджують справжність компанії, наприклад, факт існування організації фізично та юридично.
І тепер зловмисники беруть цей метод на озброєння, тому що EV-сертифікат не тільки дозволяє обходити засоби захисту Windows (наприклад, Microsoft SmartScreen), а й зменшує шанс виявлення антивірусів. Варто зазначити, що в серпні 2024 року компанія Intrinsec випустила звіт про ринок використання сертифікатів з розширеною перевіркою, що розвивається.
EV Code Signing (Extended Validation Code Signing – сертифікати підпису коду з розширеною перевіркою) – цифровий підпис, який захищає та підтверджує справжність програмного забезпечення.
Попит народжує пропозицію і, звичайно, може вплинути на появу шахрайських схем. У тіньовій економіці деякі зловмисники бачать хорошу можливість обману при продажі нових послуг, що користуються попитом. Замість того, щоб дійсно надавати обіцяний продукт, вони обманюють клієнтів.
У легальному бізнесі є таке поняття, як ревізор чи таємний покупець – людина, яка перевіряє якість обслуговування, видаючи себе за звичайного клієнта. Таємні покупці оцінюють рівень сервісу чи якість продукції. Швидше за все, такий метод перевірки не омине і тіньові ресурси, де продавці також борються за увагу покупців. Із запровадженням ролі «тіньового ревізора» конкуренція між постачальниками рішень значно зросте, що призведе до зростання якості кіберзлочинних послуг.
Примітно, що зародки такого напряму вже є в дарквебі. Наприклад, на одному з тіньових форумів запровадили живу перевірку продавців. Схема працює так: постачальник виставляє свою пропозицію і має виконати тестове завдання, щоб показати рівень послуг, що пропонуються. Ревізор (представник майданчика із гарною репутацією) оцінює якість продукту, перевіряючи тестове. Якщо все виконано належним чином, зловмисник допускається до торгівлі.
За останні роки тіньові ресурси перетворилися на добре організовану екосистему, що має свої правила, механізми контролю та навіть певний рівень саморегуляції для запобігання шахрайству серед власних учасників. Дарквеб став платформою, де можна знайти будь-які інструменти для кібератак, а завдяки зростанню сервісної моделі зловмисники більше не обмежені власними технічними знаннями. Витоки інструментів, посібників і автоматизованих рішень значно спростили вхід у цю сферу, що ускладнює боротьбу з кіберзлочинцями та розслідування атак.
Особливо показовим є те, що тіньові продавці перейняли маркетингові стратегії легального бізнесу: вони використовують привабливі лендінги, працюють із відгуками клієнтів та покращують якість сервісу. Це дозволяє їм не просто збільшувати обсяги продажів, а й утримувати клієнтів, надаючи широкий вибір послуг.
Тенденції вказують на зростаючу орієнтацію на обхід засобів безпеки: активно використовуються криптери та EV-сертифікати, розробники ВПО вдосконалюють свої інструменти для адаптації до нових змін у програмному забезпеченні. Окрім цього, штучний інтелект дедалі більше інтегрується у кіберзлочинність, що дозволяє автоматизувати атаки та підвищити їхню ефективність.
Ринок тіньових послуг стає все більш екосистемним. Деякі угруповання вже інтегрували магазини журналів безпосередньо в панелі керування ВПО, а інші створюють власні криптовалюти, що можуть використовуватися для анонімних платежів або отримання ексклюзивних пропозицій. Вірогідно, що надалі все більше сервісів об’єднуватимуться в єдині платформи, на яких зловмисники зможуть отримати всі необхідні послуги в межах одного майданчика.
Кіберзлочинність продовжує розвиватися, адаптуючи легальні бізнес-моделі, технологічні інновації та маркетингові стратегії. Початкові витрати на проведення атаки можуть починатися від 20 000 доларів, проте потенційний прибуток у разі успіху в рази перевищує ці вкладення. Це створює небезпечний стимул для зловмисників, а розширення сервісної моделі лише збільшує кількість кіберзлочинців, які можуть проводити атаки без глибоких технічних знань.
Для організацій це означає, що традиційні методи кіберзахисту більше не є достатніми. Потрібен комплексний підхід, що включає активний моніторинг даркнет-ресурсів, аналіз нових загроз та впровадження сучасних засобів безпеки, таких як XDR, SIEM та поведінковий аналіз трафіку (NTA). З урахуванням того, що кіберзлочинці постійно вдосконалюють свої стратегії, компаніям варто зосередитися не лише на реагуванні на атаки, а й на проактивному виявленні загроз та мінімізації можливих наслідків.
