699
Программы-вымогатели как услуга. Схема RaaS способствует более тесному сотрудничеству между преступными группировками
Эксперты по кибербезопасности отмечают рост профессионализма киберпреступных групп на протяжении последних нескольких лет. Они стали более организованны и стремятся оптимизировать свои операции для получения максимальной прибыли. Все более тесная связь между брокерами доступа и группами вымогателей является уже очевидной. К таким выводам приходит компания Intel 471, специализирующаяся на анализе угроз, в своем отчете The relationship between access brokers and ransomware crews is growing («Взаимодействие между брокерами доступа и бригадами вымогателей развивается»). «Брокеры доступа специализируются на получении учетных данных для доступа к ИТ-стекам организаций по всему миру, — отмечает Грег Отто (Greg Otto) из Intel 471. — Они продают этот доступ тем, кто больше всего заплатит в киберпреступном подполье, а самые высокие цены все чаще назначаются бандами, использующими программы-вымогатели как услугу (Ransomware as a Service — RaaS)».
Существуют и другие категории посредников доступа — например, продавцы уязвимостей, которые могут продать с аукциона наличие бэкдора [(от back door — «черный ход») — дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить несанкционированный доступ к данным или удаленному управлению операционной системой и компьютером в целом] или обнаружение неисправленной уязвимости. Но в этом отчете основное внимание уделяется росту числа брокеров учетных данных за последние годы и растущему сотрудничеству таких брокеров с определенными группами RaaS.
И для тех, и для других все бизнес-преимущества тесных, а возможно, и эксклюзивных отношений очевидны. Операторы программ-вымогателей могут предоставлять более качественные услуги своим партнерам, обеспечивая как сам доступ, так и вредоносное ПО. Это делает процесс короче и увеличивает оборот: цена выкупа увеличивается, а время ожидания уменьшается. Кроме того, по мере укрепления отношений группы вымогателей могут заранее идентифицировать жертву, на которую намерены нацелиться, и продавец доступа предоставит его, как только появится такая возможность.
Для брокеров эксклюзивные отношения с группами RaaS означают, что они могут отказаться от участия в публичных аукционах на подпольных форумах и полностью вести свой бизнес по продажам через скрытые зашифрованные каналы. С ростом активности правоохранительных органов и мониторинга эта дополнительная возможность им только на руку.
Брокеры учетных данных получают свой товар из любого возможного источника. Они могут проводить свои собственные фишинговые кампании или нанимать сторонних похитителей. Сегодня можно уже говорить о «хищении информации как услуге». После получения они, как правило, продают учетные данные на подпольных форумах.
Исследователи отмечают трех активных посредников, которых они обозначают как Юпитер (Jupiter), Нептун (Neptune) и Сатурн (Saturn). Было замечено, что Jupiter сделал 1195 предложений учетных данных, и в последующем произошло совпадение этих предложений и атак банд вымогателей Avaddon, Black Cat и Pysa/Mespinoza.
Neptune активен с 2020 года. В 2021 году он выставил на продажу доступ к 1146 организациям, как говорится в отчете, полученный «путем покупки на подпольных форумах и непосредственно у поставщиков журналов вредоносных программ». Из этого списка исследователи обнаружили 24 организации, которые впоследствии были названы на веб-сайтах жертв программ-вымогателей. 14 из них стали жертвами Pysa/Mespinoza.
В 2022 году Neptune уже продал 1303 сертификата. Хотя ни один из них пока не связан с атаками программ-вымогателей, но вполне вероятно, что все еще впереди. Исследователи также отмечают, что Neptune был замечен в поиске долгосрочного сотрудничества и партнерских отношений с другими игроками, также стремящимися монетизировать доступ, — с Citrix и VPN.
В отчете Intel 471 авторы приходят к выводу: «Вероятно, что по мере того, как предложения покупки доступа становятся все более распространенными на подпольных форумах, операторы программ-вымогателей будут искать известных и заслуживающих доверия игроков здесь для налаживания партнерских отношений. В то же время поставщики доступа начнут осознавать, что они могут экономить время и силы, делая предложения напрямую активным операторам.
Как следует из исследования, более тесное сотрудничество между бандами RaaS и брокерами доступа неизбежно. Скоро им больше не нужно будет рекламировать свой товар, т. к. они смогут перейти к прямой зашифрованной связи со своими клиентами. На данный момент компании, учетные данные которых содержатся в списках брокеров, должны знать, что они находятся под повышенной угрозой успешной атаки программ-вымогателей».
