Больше половины (58%) зловредов, которые распространяли злоумышленники по модели «Вредоносное ПО как услуга» (MaaS, Malware-as-a-Service), — программы-вымогатели. На долю инфостилеров пришлось 24%, а 18% составили ботнеты, загрузчики и бэкдоры. Таковы данные исследования «Лаборатории Касперского», в рамках которого эксперты команды Digital Footprint Intelligence изучили 97 семейств вредоносных программ.
«Популярность» программ-вымогателей. Востребованность этого ПО можно объяснить способностью приносить более высокую прибыль в короткие сроки по сравнению с другими типами вредоносного ПО. «Подписаться» на Ransomware-as-a-service (RaaS) злоумышленники могут бесплатно. Услугу же они оплачивают после совершения атаки. Стоимость услуги определяется процентом от выкупа, выплачиваемого жертвой, обычно он составляет от 10% до 40% от каждой транзакции. Однако вступить в такую партнёрскую программу непросто.
Инфостилеры — это вредоносные программы, предназначенные для кражи данных, в том числе логинов, паролей, данных банковских карт, счетов, криптовалютных кошельков, истории браузера. Услуги инфостилеров оплачиваются по модели подписки. Их стоимость составляет от 100 до 300 долларов в месяц. Например, Raccoon Stealer, который перестали продавать в начале февраля 2023 года, можно было приобрести за 275 долларов в месяц или за 150 долларов в неделю. Его конкурент, RedLine, продаётся по 150 долларов в месяц. Также на него можно приобрести пожизненную лицензию за 900 долларов. Однако злоумышленники могут нести дополнительные расходы, увеличивающие итоговые затраты на атаки.
Ботнеты, загрузчики и бэкдоры. Для исследования специалисты объединили эти угрозы в одну группу, поскольку часто у них одинаковая цель — загрузить и запустить другие вредоносные программы на устройстве жертвы. Отдельные виды программ, распространяемые по модели MaaS, стоят значительно дороже инфостилеров за счёт более сложного кода, предоставления всей инфраструктуры «оператором» и ограничения мест для партнёров. Однако они позволяют злоумышленникам дольше оставаться незамеченными, как это делает, например, загрузчик Matanbuchus, стоимость которого составляет 4900 долларов в месяц за стандартную версию.
Как работает MaaS. «Вредоносное ПО как услуга» (MaaS) — это незаконная модель бизнеса, предполагающая предоставление в аренду программного обеспечения для осуществления кибератак. Владельцев зловредного ПО, которые занимаются такой деятельностью, называют «операторами», а их клиентов — «партнёрами». Для организации работы по модели MaaS злоумышленники могут использовать теневые площадки и мессенджеры.
«Злоумышленники активно продают в даркнете незаконные товары и услуги, в том числе вредоносные программы и украденные данные. Понимая, как устроен теневой рынок, компании могут получить представление о методах и мотивах потенциальных злоумышленников. С этой информацией мы можем помочь разработать более эффективные стратегии предотвращения кибератак путём выявления и мониторинга деятельности злоумышленников, отслеживания потоков информации, а также возникающих угроз и тенденций», — прокомментировал Александр Забровский, аналитик Kaspersky Digital Footprint Intelligence.
15 июня в 11:00 (МСК) «Лаборатория Касперского» проведет вебинар «Вредонос по подписке: как работает Malware-as-a-Service». На вебинаре Александр Забровский расскажет, что такое MaaS, из чего он состоит, а также поделится информацией об этой бизнес-модели и её схемах работы. Участникам вебинара будет выслан отчёт «Из чего состоит Malware-as-a-Service».
Для защиты компаний от киберугроз эксперты «Лаборатории Касперского» рекомендуют:
- регулярно обновлять всё используемое ПО, чтобы предотвратить проникновение злоумышленников в корпоративную сеть через уязвимости;
- использовать данные Threat Intelligence, чтобы быть в курсе актуальных техник и тактик злоумышленников;
- использовать сервис Kaspersky Digital Footprint Intelligence. Он помогает определить, что злоумышленники знают о ресурсах компании, и оперативно обнаруживать доступные им потенциальные векторы атак. Также он позволяет повысить осведомлённость о возможных киберугрозах, в результате чего можно корректировать защиту или своевременно принимать меры по противодействию и устранению;
- в случае инцидента обращаться к сервису Kaspersky Incident Response, который поможет отреагировать и минимизировать последствия, в частности выявить скомпрометированные узлы и защитить инфраструктуру от подобных атак в будущем.