Šiomis dienomis kibernetinių nusikaltimų ekosistema veikia vis labiau kaip prenumeratos technologijų sektorius. Panašiai kaip teisėtų debesijos paslaugų „kaip paslauga“ modelis, „crimi-as-a-service“ (CaaS) sprendimai leidžia nepatyrusiems užpuolikams išsinuomoti išteklius ir prieigą, reikalingą atakoms vykdyti.
Kibernetinių nusikaltimų tinklai reklamuoja keičiamo dydžio, pagal pareikalavimą teikiamas paslaugas ir mokėjimo už naudojimą modelius.
Nors partnerių programas (RaaS) jau seniai naudoja išpirkos reikalaujančios gaujos, beveik visi internetinio nusikaltimo aspektai dabar siūlomi už tam tikrą mokestį. Šiame tinklaraštyje aptariame penkis būdus, kaip kibernetiniai nusikaltimai perėjo prie prenumeratos verslo modelio, o tai labai skiriasi nuo ankstesnės praktikos.
1. Sukčiavimas kaip paslauga nuolat prideda funkcijų
Sukčiavimas kaip paslauga (PhaaS) pavertė el. pašto sukčiavimus iš „pasidaryk pats“ operacijų į patobulintas prenumeratos paslaugas. Tradiciškai kibernetiniam nusikaltėliui reikėjo pačiam surinkti sukčiavimo puslapius, laiškų siuntimo scenarijus ir adresų sąrašus arba nusipirkti vienkartinį sukčiavimo rinkinį.
Šiandien yra sukčiavimo iki galo platformų, kurios tvarko viską nuo įtikinamų puslapių kūrimo iki masinių el. laiškų siuntimo – visa tai už periodinį mokestį. Kai kurie pogrindžio kūrėjai netgi integruoja AI, kad padidintų sukčiavimą.
Pavyzdžiui, „SpamGPT“ yra dirbtinio intelekto sukurtas šlamšto kaip paslaugos įrankis, automatizuojantis sukčiavimo el. laiškų kūrimą, el. pašto paskyrų nulaužimą ir maksimalų pristatymo greitį, iš esmės siūlantis nusikaltėliams rinkodaros lygio kampanijos įrankius. Tai reiškia, kad potencialus sukčiautojas gali pradėti profesionaliai atrodančią kampaniją su minimaliomis pastangomis.
Kita naujovė yra kenkėjiškų dokumentų kūrėjų, tokių kaip MatrixPDF, atsiradimas, kurie įprastus PDF failus paverčia ginkluotais masalais (prideda netikras prisijungimo perdangas, peradresavimus ir pan.), kad išvengtų el. pašto filtrų. Nusikalstamos grupuotės parduoda šias paslaugas ir rinkinius pagal prenumeratą, kartu su vartotojo vadovais ir net klientų aptarnavimu.
Tai labai toli nuo senųjų laikų, kai iš Pastebin buvo kopijuojamas sukčiavimo HTML. „PhaaS“ prenumeratoriai gauna reguliarius savo rinkinių atnaujinimus, apsaugos nuo aptikimo patobulinimus ir techninę pagalbą užsiprenumeravę. Rezultatas? Net užpuolikai, neturintys jokių žiniatinklio kūrimo įgūdžių, gali nuolat diegti atnaujintas sukčiavimo schemas tiesiog sumokėdami prenumeratą, parodydami, kaip sukčiavimas virto paslauga, kuri nuolat prisitaiko ir tobulėja.
Mūsų komanda išanalizavo duomenis iš 1 000 realių IT aplinkų ir nustatė, kad nė viena organizacija nebuvo apsaugota nuo pažeidimų.
Tiesą sakant, 99 % organizacijų atskleidė slaptus duomenis, kuriuos dirbtinis intelektas gali lengvai atskleisti.
Perskaitykite ataskaitą
2. Telegramų robotai socialinę inžineriją paverčia paslauga
Šifruotos pranešimų platformos, tokios kaip „Telegram“, tapo kibernetinių nusikaltimų tarnybų židiniais, efektyviai išnaudodamos „Telegram“ API kaip prenumeratos pagrindu veikiančių nusikalstamų priemonių pagrindą. Vienas iš pavyzdžių yra vienkartinio slaptažodžio (OTP) robotų paplitimas.
Šie robotai atlieka automatinius skambučių sukčiavimus: jie iš tikrųjų paskambins tikslinei aukai, suklastodami banko skambintojo ID, ir naudos balso scenarijų, kad apgautų asmenį atskleisti savo 2FA saugos kodą. Visą procesą – skambučių klastojimą, balso raginimus ir kodo fiksavimą tvarko robotas. Trokštantys sukčiai prireikus gali išsinuomoti šią galimybę.
Kainodaros pakopos imituoja SaaS modelį: vienas OTP robotas, kurį radome, apmokestina apie 70 USD per savaitę už neribotus skambučius arba apie 150 USD per mėnesį už papildomą planą. Šios paprastos prieigos prie socialinės inžinerijos įrankių nebuvo prieš daugelį metų. Tuomet sukčiai turėjo rankiniu būdu apgaudinėti skambučius, naudodamiesi VOIP paslaugomis arba socialinių inžinierių aukomis po vieną.
Be vienkartinių robotų, „Telegram“ kanalai siūlo tokias paslaugas kaip masinis SMS siuntimas, SIM keitimo paslaugos, netikrų pranešimų robotai ir dar daugiau – dažnai už nuomą / prenumeratą. „Telegram“ API naudojimas užtikrina anonimiškumą ir greitą diegimą.
3. Infostealer žurnalai tapo debesų duomenų srautais
Kibernetinių nusikaltėlių prekyvietės pavogtus duomenis pavertė kažkuo panašiu į debesų platformas. Anksčiau pavogti kredencialai galėjo būti parduodami vienkartiniuose forumų pranešimuose arba masinėse duomenų bazėse. Dabar specializuotos platformos kaupia milijonus „infostealer“ kenkėjiškų programų žurnalų ir pateikia juos per žiniatinklio sąsajas.
Pavyzdžiui, vienoje rinkoje kibernetiniai nusikaltėliai gali ieškoti ir filtruoti pavogtus prisijungimo duomenis pagal geografiją, operacinę sistemą, kenkėjiškų programų šeimą ar net konkrečius domenų pavadinimus, panašiai kaip užklausą debesų duomenų bazėje.
Ši tamsi žiniatinklio rinka išsivystė nuo prekybos individualiais KPP įsilaužimais iki plataus masto informacijos vagysčių žurnalų prekybos kaip pelningesnio, į prenumeratą panašaus pasiūlymo. Prieiga prie šių platformų dažnai yra uždara, todėl pirkėjai gali mokėti nario mokesčius arba užstatus, veiksmingai užsiprenumeruodami šviežių pavogtų duomenų srautą.
4. Prieigos brokeriai tinklo pažeidimus paverčia preke
Neseniai kibernetiniam nusikaltėliui, norinčiam pažeisti įmonės tinklą, reikėjo pačiam atlikti darbą, rasti pažeidžiamumą, sukčiauti neatskleistą informaciją arba kruopščiai įsilaužti. Šiandien pradinės prieigos brokeriai (IAB) prieigą prie tinklo pavertė preke, kuri perkama ir parduodama dideliais kiekiais.
Šie brokeriai specializuojasi įsitvirtindami organizacijose (naudodami pavogtus VPN kredencialus, pažeistus KPP serverius, žiniatinklio apvalkalo užpakalines duris ir t. t.) ir tvarkyti paruoštos prieigos inventorių. Tada jie parduoda arba išnuomoja šią prieigą kitiems nusikaltėliams, pavyzdžiui, išpirkos reikalaujančių programų gaujoms, dažnai per pusiau oficialias prekyvietes. Verslas subrendo tiek, kad kai kurie prieigos brokeriai pasikartojantiems klientams siūlo pakopines kainas ir prenumeratos paketus.
Grėsmės veikėjas gali mokėti už nuolatinį naujų tinklo prieigos taškų tiekimą, iš esmės užsiprenumeruodamas nulaužtų mašinų srautą. Geriausi brokeriai vykdo savo veiklą kaip profesionalias paslaugas: jie patvirtina ir suskirsto kiekvieną prieigą prie kategorijų (pagal privilegijų lygį, domeno administratorių, palyginti su įprastu vartotoju ir t. t.), pateikia pirkėjams ekrano kopijas ar įrodymus ir netgi siūlo klientų palaikymą arba pakeitimą, jei prieiga būtų uždaryta.
Palyginti su senu metodu, kai kiekviena auka pažeidžiama pačiai, IAB leidžia užpuolikams tiesiog užsisakyti įsilaužimo galimybes. Pradinės prieigos pavertimas prekybai reiškia, kad potencialus įsibrovėlis gali prisijungti, o ne įsilaužti, paversdamas tinklo pažeidimus į keičiamo dydžio, užsakomą paslaugą kitiems kibernetiniams nusikaltėliams.
5. Išplėstiniai įrankiai taikomi mažiems abonentiniams mokesčiams
Ko gero, aiškiausias elektroninių nusikaltimų prenumeratos pasikeitimo požymis yra pažangių įsilaužimo įrankių nuoma už nedidelę kainą. Aukštos kokybės kenkėjiškas programas, kurioms kažkada reikėjo rimtų investicijų ar kodavimo žinių, dabar galima pasiekti naudojant pigų mėnesio planą.
Kaip pavyzdį paimkite naują „Atroposia“ nuotolinės prieigos Trojos arklys (RAT).
Šis daug funkcijų turintis RAT, kuris siūlo paslėptą darbalaukio valdymą, kredencialų vagystes, atakas be failų ir kt., parduodamas tikru SaaS būdu. „Atroposia“ kūrėjai ima apie 200 USD per mėnesį už prieigą prie kenkėjiškos programos ir jos žiniatinklio valdymo skydelio. Nuolaidos suteikiamos ilgesniam laikotarpiui (trys mėnesiai už 500 USD, šeši mėnesiai už 900 USD), atspindintys teisėtą programinės įrangos prenumeratą. Už tokią kainą žemo meistriškumo užpuolikas gauna „plug and play“ įrankį, kurio kūrimas ar įsigijimas anksčiau būtų kainavęs kur kas brangiau.
Kenkėjiškų programų autoriai dabar taip pat siūlo kūrėjus ir išnaudojimo rinkinius (pvz., kenkėjiškų „Office“ dokumentų ar pasirinktinių įkroviklių) pagal prenumeratos modelius, užtikrindami, kad klientai visada turėtų naujausią versiją.
Grynasis poveikis yra tas, kad kliūtis patekti į sudėtingas atakas sumažėjo.
Užuot investavęs dideles sumas į specialiai sukurtas kenkėjiškas programas ar užtrukęs mėnesius, kol užkoduotas ir išbandytas naujas RAT, užpuolikas gali išsinuomoti naujausius įrankius, tokius kaip MatrixPDF (PDF pagrįstiems išnaudojimams) arba Atroposia RAT, turėdamas nedidelį mėnesio biudžetą. Anksčiau tokias pažangias technologijas galėjo naudoti tik gerai finansuojami arba aukštos kvalifikacijos nusikaltėliai, o dabar paprasti elektroniniai nusikaltimai yra tiesioginis pardavimo taškas.
Nauja kibernetinių nusikaltėlių prenumeratos ekonomika
Deja, kibernetiniai nusikaltimai subrendo į visiškai išvystytą paslaugų ekonomiką.
Šis prenumeratos modelis pavertė tai, kas anksčiau buvo fragmentuota aplinka, įskaitant sukčiavimo rinkinius, informacijos stealer žurnalus ir prieigos pardavimą, į prieinamą ir pagal poreikį reikalingų įrankių rinkinį. Užpuolikams nebereikia koduoti, priglobti infrastruktūros ar net suprasti naudojamų kenkėjiškų programų. Jie tiesiog moka mėnesinį mokestį ir veikia kaip klientai šešėlinėje SaaS ekosistemoje.
Norėdami išlikti priekyje, kibernetinio saugumo ekspertai ir gynėjai turi galvoti taip pat: pirmiausia sistema.
Tai reiškia, kad automatizuoti aptikimo planus, reguliariai keisti kredencialus ir kaip numatytuosius nustatymus taikyti mažiausią privilegiją ne retkarčiais, o nuosekliai. Kuo labiau gynybą padarysime keičiamą, pakartojamą ir prisitaikančią, tuo sunkiau puolėjams pasisekti.
Rėmė ir parašė Varonis.
