Больше половины (58%) зловредов, которые распространяли злоумышленники по модели «Вредоносное ПО как услуга» (MaaS, Malware-as-a-Service), — программы-вымогатели. На долю инфостилеров пришлось 24%, а 18% составили ботнеты, загрузчики и бэкдоры. Таковы данные исследования «Лаборатории Касперского», в рамках которого эксперты команды Digital Footprint Intelligence изучили 97 семейств вредоносных программ.
«Вредоносное ПО как услуга» (MaaS) — это незаконная модель бизнеса, предполагающая предоставление в аренду программного обеспечения для осуществления кибератак. Владельцев зловредного ПО, которые занимаются такой деятельностью, называют «операторами», а их клиентов — «партнёрами». Для организации работы по модели MaaS злоумышленники могут использовать теневые площадки и мессенджеры.
Злоумышленники активно продают в даркнете незаконные товары и услуги, в том числе вредоносные программы и украденные данные. Понимая, как устроен теневой рынок, компании могут получить представление о методах и мотивах потенциальных злоумышленников.
Востребованность программ-вымогателей эксперты объясняют способностью приносить более высокую прибыль в короткие сроки по сравнению с другими типами вредоносного ПО. «Подписаться» на Ransomware-as-a-service (RaaS) злоумышленники могут бесплатно. Услугу же они оплачивают после совершения атаки. Стоимость услуги определяется процентом от выкупа, выплачиваемого жертвой, обычно он составляет от 10% до 40% от каждой транзакции. Однако вступить в такую партнёрскую программу непросто.
Инфостилеры — это вредоносные программы, предназначенные для кражи данных, в том числе логинов, паролей, данных банковских карт, счетов, криптовалютных кошельков, истории браузера. Услуги инфостилеров оплачиваются по модели подписки. Их стоимость составляет от $100 до $300 в месяц. Например, Raccoon Stealer, который перестали продавать в начале февраля 2023 года, можно было приобрести за $275 в месяц или за $150 в неделю. Его конкурент, RedLine, продаётся по $150 в месяц. Также на него можно приобрести пожизненную лицензию за $900. Однако злоумышленники могут нести дополнительные расходы, увеличивающие итоговые затраты на атаки.
Главной целью ботнетов, загрузчиков и бэкдоров — загрузить и запустить другие вредоносные программы на устройстве жертвы. Отдельные виды программ, распространяемые по модели MaaS, стоят значительно дороже инфостилеров за счёт более сложного кода, предоставления всей инфраструктуры «оператором» и ограничения мест для партнёров. Однако они позволяют злоумышленникам дольше оставаться незамеченными, как это делает, например, загрузчик Matanbuchus, стоимость которого составляет $4900 в месяц за стандартную версию.
Для защиты компаний от киберугроз эксперты по информационной безопасности рекомендуют:
- регулярно обновлять всё используемое ПО, чтобы предотвратить проникновение злоумышленников в корпоративную сеть через уязвимости;
- использовать данные Threat Intelligence, чтобы быть в курсе актуальных техник и тактик злоумышленников;
- повысить осведомлённость о возможных киберугрозах, в результате чего можно корректировать защиту или своевременно принимать меры по противодействию и устранению;
- в случае инцидента обращаться к сервисам, которые помогают отреагировать и минимизировать последствия, в частности выявить скомпрометированные узлы и защитить инфраструктуру от подобных атак в будущем.