Кіберзлочинці-ветерани, залучені до атак програм-вимагачів, дедалі більше уникають великих платформ програм-вимагачів як послуг (RaaS) після низки операцій із зриву правоохоронних органів, а також гучної афери з виходом угруповання AlphV/BlackCat, за словами офіційних осіб та експерти галузі.
Організовані онлайн-злочинні групи намагаються зменшити свою залежність від сервісів RaaS, розробляючи власні варіанти шкідливого програмного забезпечення, спираючись на інструменти, що витікають, щоб здійснювати атаки самостійно, а не як філії існуючої групи, йдеться в оцінці загрози Європолу, опублікованій 22 липня. .
Експерти попереджають, що триваюча фрагментація може не призвести до зменшення випадків програм-вимагачів або здирництва. Кримінальний світ кіберзлочинності залишається добросовісним економічним ринком, заснованим на монетизації вразливостей програмного забезпечення, яких не бракує, і екосистема просуває прибуткові способи монетизації вразливостей у великих масштабах.
Економічний ланцюжок екосистеми RaaS починається з початкових брокерів доступу, які купують і продають доступ до вразливих комп’ютерних мереж жертв. Цей доступ потім використовують «філії» програми RaaS, які використовують платформи банд-вимагачів для крадіжки та шифрування файлів, а також для інфраструктури для переговорів про здирництво в обмін на комісію за останній платіж.
В останні місяці кілька з цих платформ, включаючи Hive, LockBit і AlphV/BlackCat, постраждали від операцій правоохоронних органів. У випадку з групою AlphV злочинці спробували повернутися після ліквідації лише перед тим, як «вийти з шахрайства» її афілійованих осіб і зникнути з вимаганням 22 мільйонів доларів.
Маючи вплив
Експерти вважають, що збої в правоохоронних органах мають значний вплив, навіть якщо вони не передбачають захоплення місць витоку чи інфраструктури, що керує криптографічними ключами, які використовуються в атаках.
Кімберлі Гуді, керівник відділу аналізу кіберзлочинності в Mandiant, розповіла Recorded Future News, що після міжнародної операції з демонтажу ботнету Qakbot у серпні минулого року її команда помітила зниження кількості атак групи програм-вимагачів Black Basta.
«Замість того, щоб постійно покладатися на шкідливі кампанії електронної пошти, що розповсюджують Qakbot, учасники перейшли до різноманітних інших шкідливих програм, таких як Darkgate і Silentnight, і вкрали облікові дані, які могли бути отримані за допомогою інших шкідливих програм або отримані в підпільних спільнотах», — сказав Гуді.
«Однак виявлення інших надійних методів початкового доступу відбулося не відразу, і це призвело до значного зниження кількості операцій з програмами-вимагачами Basta у третьому кварталі 2023 року, що підкреслює цінність зусиль, спрямованих на зрив операцій початкового доступу», — заявила вона.
Вілл Лайн, голова розвідки відділу боротьби з кіберзлочинністю Британського національного агентства боротьби зі злочинністю, сказав, що, хоча робота правоохоронних органів могла «спричинити або прискорити» те, що великі платформи RaaS, здається, втрачають своїх найнебезпечніших філій, його агентство також бачить «екосистему». фрагментація, спричинена злочинними діячами на ринку», як-от шахрайство з BlackCat/AlphV.
«Онлайн-ринки та форуми, наприклад, як російськомовні, так і англомовні, регулярно зазнають збоїв через суміш шахрайства, внутрішньої боротьби та операцій правоохоронних органів. Подібне можна сказати і про інші ключові елементи онлайн-екосистеми кіберзлочинців, яка підтримує та активує такі загрози, як програмне забезпечення-вимагач», — сказав Лайн.
«Ми бачимо можливу зміну споживачів кіберзлочинців, таких як афілійовані програми-вимагачі, відходять від великих платформ, оскільки довіра та впевненість падає».
Лайн оцінив, що це могло бути тому, що афілійованим програмам-вимагачам із наявними навичками та досвідом більше не потрібні інструменти, надані схемами RaaS, щоб заробляти гроші через витік інформації, на який посилається Європол. Він попередив, що «бар’єр для проникнення в кіберзлочинність і програми-вимагачі» продовжує знижуватися, зазначивши, що злочинним організаціям «потрібно менше людей зі спеціальними кібернавичками, щоб успішно керувати схемою».
Фрагментація
У рамках видалення LockBit NCA виявило, що велика кількість афілійованих компаній не повернули свої початкові інвестиції в програму RaaS.
Рейф Піллінг, директор відділу розвідки про загрози в Secureworks, підкреслив, що «основною мотивацією для учасників програм-вимагачів є отримання прибутку», додавши, що хоча афілійованим групам, які переходять до інструментів, що витікають, більше не доведеться ділитися своїми прибутками з більшими постачальниками RaaS, вони були також понесе додаткові витрати.
«Їм доводиться розробляти зловмисне програмне забезпечення самостійно або платити комусь за це», — пояснив Піллінг. «Робота з відомим «брендом» означає, що вони можуть покластися на цю репутацію, оскільки вони затримають будь-які переговори, що є ключовою частиною динаміки програм-вимагачів, яка спонукає жертв платити. Існують також інші витрати залежно від того, чи залишаються вони невеликими та взаємодіють з кожною жертвою безпосередньо, чи вирішують розширити та налаштувати блоги про витік інформації, портали переговорів, викрадання даних та інфраструктуру хостингу тощо».
Mandiant’s Goody погоджується: «Навіть незалежні оператори програм-вимагачів можуть покладатися на партнерство або інструменти та послуги, що надаються третіми сторонами для деяких аспектів їх діяльності, незалежно від того, чи йдеться про шкідливе програмне забезпечення, інфраструктуру чи послуги з відмивання коштів».
Незважаючи на те, що економія від масштабу, яку надають сторонні сервіси, здавалося, сприяла зростанню в секторі під час розквіту платформ RaaS, постійне зниження бар’єрів для входу та продовження еволюції практик здирництва, схоже, дозволяє злочинному світу процвітати навіть в умовах збоїв. і внутрішні шахрайства.
«Ми спостерігаємо перехід до інцидентів, пов’язаних лише з вимаганням, без шифрування. Це також знижує планку, оскільки змусити шифрування працювати може бути технічно та адміністративно складно для загрозливих суб’єктів», – сказав Лайн.
«Тільки для вимагання вам потрібен доступ до мережі жертви, щоб викрасти дані, а потім вимагати викуп — це може бути швидшим і більш масштабованим, ніж атаки з використанням шифрування», — додав він.
Експерти сходяться на думці, що основи ринку не змінилися — навіть якщо конкуренція перемішує те, як взаємодіють основні гравці — тому що монетизувати вразливості програмного забезпечення все ще дуже легко. Лайн сказав, що він «не впевнений, що фрагментована екосистема призведе до зменшення випадків програм-вимагачів або здирництва», зазначивши, що «2024 рік наразі відстежується подібно до 2023 року».
«Хоча ми досягаємо прогресу в стійкості, на жаль, є ще багато можливостей для кіберзлочинців», — сказав Лайн, зазначивши, що Національний центр кібербезпеки Великобританії «має чудові вказівки, доступні в Інтернеті, щоб допомогти організаціям і окремим особам захистити себе».
Екосистема програм-вимагачів фрагментується під тиском і недовірою правоохоронних органів
