Aby osiągnąć sukces, twórcy szkodliwego kodu muszą się wykazać nie tylko umiejętnościami technicznymi, ale również zmysłem biznesowym. Właśnie w ten sposób mogą przełożyć swoją „pracę” na zyski. Nie powinno więc być zaskoczeniem, że wiele organizacji przestępczych dostosowało swoje rozwiązania technologiczne oraz model biznesowy do oczekiwań klientów. Oferują usługi, np. SaaS, podobnie jak robią to oficjalni producenci oprogramowania. Szkodliwe oprogramowanie, skradzione dane i inne zasoby, które można sprzedać, to wszystko w Darknecie jest oferowane coraz częściej jako usługa. Oto kilka faktów i liczb, które pokazują, jak wszechobecny stał się model SaaS w półświatku cyberprzestępców.

Usługi grupy Shadow Broker

WannaCry to jeden z największych sukcesów marketingowych stojącej z nimi grupy przestępczej Shadow Broker. WannaCry spowodował, że na całym świecie stanęły szpitale, sklepy, przedsiębiorstwa i stacje benzynowe. Również polskie firmy i instytucje padły jego ofiarą. CERT Polska, rządowy zespół reagowania na incydenty w sieci, zidentyfikował ponad 1200 unikatowych adresów IP zainfekowanych tym wirusem.

Zobacz również:

• Co trzecia firma w Polsce z cyberincydentem

Ten ransomware rozprzestrzeniał się, wykorzystując podatność (exploit) wykradziony z NSA właśnie przez Shadow Broker. Obecnie wydaje się, że grupa konsumuje owoce swojej działalności. Ostatnio ogłosiła, że uruchamia nową usług, w której co miesiąc będzie oferować nową porcję exploitów, w tym luki zero-day czy narzędzia hakerskie wykradzione amerykańskim instytucjom rządowym. Cena wywoławcza: 23 000 USD miesięcznie.

Koszty usług dopasowane do rynku

Czarny rynek doszedł do punktu, w którym typowe zestawy exploitów oferowane są całkowicie w modelu SaaS. Co ciekawe, ceny subskrypcji zależą od kilku trendów rynkowych, wliczając w to jeden unikalny dla czarnego rynku: eliminacja i tajemnicze zniknięcia przestępczej konkurencji. W zeszłym roku, kiedy zestaw exploitów o nazwie Angler zniknął nagle z rynku, miesięczne ceny konkurencyjnego zestawu Neutrino podwoiły się w ciągu nocy z 3500 do 7000 USD, co ustalili eksperci z firmy CheckPoint.

Biorąc pod uwagę ten trend, warto obserwować, co się będzie działo po silnym ciosie, jaki otrzymał zestaw exploitów RIG. Wyłączono bowiem ok. 40 tys. podejrzanych domen internetowych, z których korzystał RIG.

Wynajem botnetów

Rynek wynajmu botnetów jest coraz ciekawszy, z uwagi na rosnącą liczbę ataków DDoS typu Mirai. Po zmasowanych atakach na kilka bardzo znanych firm i portali, m.in. firmę DYN będącą dostawcą usług DNS, niektórzy dostawcy botnetów Mirai zaczęli reklamować swoje usługi. Jeden z największych chwali się, że ma do wynajęcia 400 tys. urządzeń. Ceny zaczynają się od 3000 USD za trwającą dwa tygodnie kampanię, w której wykorzystywanych jest 50 tys. zhakowanych urządzeń. Siegają 7500 USD, gdy klient chce wynająć 100 tys. urządzeń.

Usługi modułowe

Legalni usługodawcy oferują możliwość wyboru komponentów i dodatków, żeby klient mógł zastosować to, co najlepiej spełnia jego potrzeby. Podobnie jest w przypadku usług oferowanych przez przestępców. W ostatnich miesiącach badacze z Terbium Labs oraz CheckPoint dokładnie przyjrzeli się usłudze botnet DiamondFox, która ma właśnie taką modułową konstrukcję. Klient może wybierać między mnóstwem opcji, a interfejs graficzny można w dużym stopniu spersonalizować i dostosować do indywidualnych potrzeb. Taki modułowy, szkodliwy kod obejmuje bardzo wiele elementów: keylogger, wykradanie haseł z przeglądarek, różne rodzaje rozproszonych ataków DDoS czy kradzież portfeli kryptowalut. Cena podstawowego wariantu usługi to 300 USD, a poszczególne dodatki są oferowane po 150 USD.

Ransomware jako usługa

Ataki typu ransomware niemal od początku swojej historii są oferowane w modelu usługowym. Jedną z pierwszych takich usług był Tox, który zadebiutował w 2015 r. Warto o nim wspomnieć z uwagi na unikalny model biznesowy. Był on oferowany na zasadzie podziału zysków. Jego autor nie pobierał żadnych opłat, ale oczekiwał od użytkownika 20% od każdego okupu zapłaconego przez ofiarę tego ransomware. Tox dość szybko zniknął z rynku, ale znalazł wielu naśladowców. Zasada podziału zysków musi być bardzo lukratywna dla wszystkich „udziałowców”, ponieważ twórcy złośliwego oprogramowania znacznie zwiększyli swoje stawki. Według ostatnich raportów, autorzy Cerbera oczekują od użytkowników swoich usług aż 40% udziału w zyskach.

Phishing jako usługa

Wyłudzanie informacji (phishing) jest jak gra liczbowa. Taki charakter tego przestępstwa powoduje, że to jedna z najbardziej przystępnych usług w zakresie cyberprzestępczości. Jedna platforma odkryta przez Fortinet oferowała subskrypcję typu „premium”, w której udostępniała wykradzione dane uwierzytelniające w cenie 3,5 USD miesięcznie. Jednocześnie średnia cena danych uwierzytelniających na różnych platformach waha się od 0,19 do 15,5 USD.

Backdoor jako usługa

Znane jako JSocket, jRAT, AlienSpy oraz Adwind to jedne z najpopularniejszych usług typu backdoor napisanych w Javie. Umożliwiają one tani dostęp do zaawansowanych możliwości zdalnego dostępu (RAT – Remote Access Trojan). Co więcej, wymagają jedynie niewielkich nakładów początkowych. Większość badaczy stwierdziła, że usługa jest dostępna za miesięczną opłatą wynoszącą 45 USD.