«Вредоносное ПО как услуга» - какие типы зловредов популярны у злоумышленников

Больше половины (58%) зловредов, которые распространяли злоумышленники по модели «Вредоносное ПО как услуга» (MaaS , Malware-as-a-Service), — программы-вымогатели. На долю инфостилеров пришлось 24%, а 18% составили ботнеты, загрузчики и бэкдоры. Таковы данные исследования «Лаборатории Касперского»*, в рамках которого эксперты команды Digital Footprint Intelligence изучили 97 семейств вредоносных программ.

«Популярность» программ-вымогателей. Востребованность этого ПО можно объяснить способностью приносить более высокую прибыль в короткие сроки по сравнению с другими типами вредоносного ПО. «Подписаться» на Ransomware-as-a-service (RaaS) злоумышленники могут бесплатно. Услугу же они оплачивают после совершения атаки. Стоимость услуги определяется процентом от выкупа, выплачиваемого жертвой, обычно он составляет от 10% до 40% от каждой транзакции. Однако вступить в такую партнёрскую программу непросто.

Инфостилеры — это вредоносные программы, предназначенные для кражи данных, в том числе логинов, паролей, данных банковских карт, счетов, криптовалютных кошельков, истории браузера.Услуги инфостилеров оплачиваются по модели подписки. Их стоимость составляет от 100** до 300 долларов*** в месяц. Например, Raccoon Stealer, который перестали продавать в начале февраля 2023 года, можно было приобрести за 275 долларов в месяц или за 150 долларов в неделю. Его конкурент, RedLine, продаётся по 150 долларов в месяц. Также на него можно приобрести пожизненную лицензию за 900 долларов. Однако злоумышленники могут нести дополнительные расходы, увеличивающие итоговые затраты на атаки.

Ботнеты, загрузчики и бэкдоры. Для исследования специалисты объединили эти угрозы в одну группу, поскольку часто у них одинаковая цель — загрузить и запустить другие вредоносные программы на устройстве жертвы. Отдельные виды программ, распространяемые по модели MaaS, стоят значительно дороже инфостилеров за счёт более сложного кода, предоставления всей инфраструктуры «оператором» и ограничения мест для партнёров. Однако они позволяют злоумышленникам дольше оставаться незамеченными, как это делает, например, загрузчик Matanbuchus, стоимость которого составляет 4900 долларов в месяц за стандартную версию.

Как работает MaaS. «Вредоносное ПО как услуга» (MaaS) — это незаконная модель бизнеса, предполагающая предоставление в аренду программного обеспечения для осуществления кибератак. Владельцев зловредного ПО, которые занимаются такой деятельностью, называют «операторами», а их клиентов — «партнёрами». Для организации работы по модели MaaS злоумышленники могут использовать теневые площадки и мессенджеры.

«Злоумышленники активно продают в даркнете незаконные товары и услуги, в том числе вредоносные программы и украденные данные. Понимая, как устроен теневой рынок, компании могут получить представление о методах и мотивах потенциальных злоумышленников. С этой информацией мы можем помочь разработать более эффективные стратегии предотвращения кибератак путём выявления и мониторинга деятельности злоумышленников, отслеживания потоков информации, а также возникающих угроз и тенденций», — комментирует Александр Забровский, аналитик Kaspersky Digital Footprint Intelligence.

Для защиты компаний от киберугроз эксперты «Лаборатории Касперского» рекомендуют:

- регулярно обновлять всё используемое ПО, чтобы предотвратить проникновение злоумышленников в корпоративную сеть через уязвимости;
- использовать данные Threat Intelligence, чтобы быть в курсе актуальных техник и тактик злоумышленников;
- использовать сервис Kaspersky Digital Footprint Intelligence. Он помогает определить, что злоумышленники знают о ресурсах компании, и оперативно обнаруживать доступные им потенциальные векторы атак. Также он позволяет повысить осведомлённость о возможных киберугрозах, в результате чего можно корректировать защиту или своевременно принимать меры по противодействию и устранению;
- в случае инцидента обращаться к сервису Kaspersky Incident Response, который поможет отреагировать и минимизировать последствия, в частности выявить скомпрометированные узлы и защитить инфраструктуру от подобных атак в будущем.

* Отчёт команды Kaspersky Digital Footprint Intelligence «Из чего состоит Malware-as-a-Service». Анализируемое ВПО распространялось в теневом сегменте и на других ресурсах в период с 2015 по 2022 года.

Источник:  «Лаборатория Касперского»