четверг, 27 июля 2017 г.

MaaS - зловреды как услуга :)

MaaS - зловреды как услуга :)

Вредоносные программы поставляются теперь вместе с сервисом службы поддержки

Криминальные операторы действуют как законные фирмы, предлагая услуги своей службы поддержки, и даже нанимают графических дизайнеров для её оформления, сообщают участники Black Hat. Хакеры, запустившие самых известных вирусов-вымогателей, перенимают опыт у официальных компаний с Уолл-стрит.

Такие вредоносные программы, как «Локки» (Locky) и «Цербер» (Cerber), помогли превратить производство вирусов-вымогателей в настоящую индустрию, которая собрала в 2016 году 25 миллионов долларов, и теперь её участники начинают работать как обычные корпорации с «обслуживающим» персоналом и внешними ресурсами.

За последние 10 лет вирусы-вымогатели не раз уже останавливали работу больниц, университетов, банков и огромного количества компьютерных сетей со слабой системой безопасности, однако по мере увеличения количества заражённых компьютеров и роста платежей эти атаки стали еще более распространенными. Вредоносная программа шифрует файлы на компьютере жертвы и, если жертва хочет вернуть свои данные, то её надо заплатить выкуп. Однажды сумма такого выкупа достигла 1 миллиона долларов.

Исследователи из Google, Chainalysis, Нью-Йоркского университета и Калифорнийского университета в Сан-Диего проследили за денежным потоком и изучили эволюционирующую экосистему выкупа. Во время презентации на конференции в Лас-Вегасе их команда рассказала о выросшем профессионализме вымогателей.
Теперь злоумышленники уже не работают как примитивные преступники, они относятся к своим жертвам как к «клиентам» и привлекают дополнительный персонал для обеспечения «продажи своих услуг». Схема работы ничем не отличается от поставщиков телефонных или банковских услуг, у которых есть свои службы поддержки. Теперь они есть и у "поставщиков" вирусов-вымогателей.

«Это становится хорошо налаженным бизнесом, - сказал Эли Бурзштейн, руководитель исследовательской группы Google по борьбе с насилием. - Всё работает, как в настоящей компании, что лишний раз подтверждает, насколько широкомасштабным и серьёзным стал этот бизнес и что прекратит он свою деятельность не скоро».
Сотрудники службы поддержки помогают жертвам узнать, как и где приобрести для оплаты выкупа криптовалюту, например биткоины, а также объясняют им, как расшифровывать определённые виды файлов. Также они предлагают "гарантированную защиту" на будущее, чтобы их клиенты не подверглись атаке в следующий раз.

Скорость развития событий просто ошеломляет, так как вымогательство превратилось в организованную преступность. Киберпреступники специально нанимают графических дизайнеров, чтобы придать своим сайтам и вредоносным программам более привлекательный вид.
Исследовательская группа Google обнаружила, что злоумышленники отдают большую часть тяжёлой работы на аутсорсинг в массовые бот-сети, которые и осуществляют заражение компьютеров. Например, для рассылки миллионов писем с вирусами-вымогателями по всему миру "Локки" и "Цербер" арендовали ботнет Necurs.

Аутсорсинг окупился, и доход "Локки" составил в 2016 году $7,8 млн. долларов, в то время как "Цербер" собрал в 2017 году $6,9 млн.

"Цербер" также предоставляет тем преступникам, которые не умеют создавать вредоносное ПО, возможность поучаствовать в бизнесе, сдавая в аренду свои вирусы. "Низкотехнологичные" мошенники могут купить у "Цербера" вирус как услугу и собирать крошки со стола, в зависимости от того, сколько компьютеров они заразили.

В 2017 году такая стратегия позволяла "Церберу" зарабатывать по 200 000 долларов в месяц, в результате чего он стал самым прибыльным вирусом-вымогателем года.
«Вирус как услуга стала доминирующей моделью, - сказал Бурзштейн. - Вам ничег не надо делать, только обеспечьте заражение компьютеров и получите свою долю пирога».

Также были обнаружены новые версии вируса "Цербер", уже доработанные и исправленные так, чтобы обойти антивирусные сканеры. В 2017 году было создано 23 000 новых исполняемых файлов для вымогателя "Цербер", в то время как у "Локи" было всего 6 000 новых вариантов.
Спеша опередить конкурентов, хакеры работают круглосуточно, потому что стремятся заработать как можно больше денег. Поэтому на фоне таких сложных, серьёзно подготовленных атак с бизнес-ориентированной инфраструктурой вирусы WannaCry и NotPetya, атаковавшие в прошлом месяце компьютеры в многомиллиардных компаниях, выглядят как самозванцы.

В то время как "Локки" и "Цербер" в течение года приносят миллионы долларов, WannaCry и NotPetya требовали всего лишь пятизначные суммы. Скорее всего, WannaCry и NotPetya - это прикрытие для вирусов-разрушителей, замаскированных под вымогателей, которые на самом деле просто уничтожают все данные. У них нет поддерживающей сети, а в случае с NotPetya электронная почта, которая была указана для выкупа, оказалась недействительной.

Сотрудник Google Лука Инверницци сказал, что прогрессирующая в последние два года система организации выкупов должна стать для всех «тревожным звонком». Он выяснил, что всего 30 процентов людей делают резервные копии своих данных, а большинство остаются уязвимыми для атак вирусов-вымогателей. По мере того, как вымогательство будет всё больше превращаться в организованную преступную деятельность, уровень инфицирования компьютеров будет только возрастать.

«Это стало самой настоящей экосистемой, где существуют люди, которые пишут вирусы-вымогатели, люди, которые управляют ботнетами, люди, которые обеспечивают работу службы поддержки, и люди, которые создают платёжные сайты», - сказал Инверницци.
https://www.cnet.com/news/ransomware-goes-pro-customer-service-google-25-million-black-hat/?ftag=CAD2e9d5b9&bhid=27464154519556539596214539141477

Комментариев нет:

Отправить комментарий