Criminalitatea informatică pe piața neagră: Servicii oferite și prețurile acestora


Industria criminalității informatice ne-a costat trei trilioane de dolari în 2015 și se prevede că această sumă va crește până la șase trilioane până în 2021, potrivit unui anunț intitulat 2018 Cybersecurity Ventures. Când spunem costuri, ne referim la toate cheltuielile suportate în urma unui incident de securitate. Într-un atac ransomware , de exemplu, nu este vorba numai de extorcarea de bani de către hackeri, ci și de alte pagube suferite de o companie, precum: pierderea productivității, îmbunătățirea politicilor de securitate, investițiile în tehnologie și de deteriorarea imaginii.

Bineînțeles, criminalitatea informatică drept serviciu nu este o noutate. Criminalii cibernetici își oferă produsele sau infrastructura pe piața neagră la schimbul unui preț. Dar ce oferă și cât costă? Am petrecut ceva timp navigând pe dark web pentru a găsi răspunsurile la aceste întrebări.

Ransomware ca serviciu

O gamă foarte mare de pachete de ransomware este disponibilă pe piața neagră, și este la fel de amplă ca cea a software-urilor. Actualizările, asistența tehnică, accesul la serverele C & C și o serie de planuri de plată sunt câteva dintre caracteristicile oferite.

Imaginea 1: Ransomware-ul Ranion disponibil pe Dark Web

Unul dintre pachetele de ransomware oferite este Ranion, al cărui model de plată se bazează pe abonamente lunare și anuale. Există diverse planuri de abonament disponibile la prețuri diferite, cele mai ieftine fiind de 120 dolari pe lună, iar cele mai scumpe fiind de 900 dolari pe an, care pot crește până la 1900 dolari dacă adăugați alte funcții în executabilul ransomware-ului.

Imaginea 2: Abonamentele oferite de infractorii cibernetici pentru ransomware-ul de tip Ranion

Un alt model de plată pe care infractorii cibernetici îl folosesc pentru a vinde ransomware este să furnizeze inițial gratuit infrastructura malware și C & C, iar apoi primesc un procent din plățile primite de la victime.

Indiferent de strategia utilizată, putem remarca că oricine dorește să fie contractat pentru aceste servicii ar trebui, de asemenea, să aibă grijă de propagarea malware-ului. Cu alte cuvinte, ei ar trebui să răspândească ransomware-ul către victimele lor, de exemplu, prin rularea unor campanii de e-mail spam sau accesând serverele vulnerabile prin RDP.

Vânzarea accesului la servere

Există diverse servicii pe Dark Web care oferă acces la servere din diferite părți ale lumii prin intermediul remote desktop protocol (RDP). Prețurile se situează în intervalul 8-15 dolari pe server, iar căutarea poate fi efectuată după țară, sistem de operare sau sistemul de plată accesat de utilizatori de pe acel server.

Imaginea 3 - Vânzarea accesului prin RDP către servere din Columbia

În imaginea de mai sus, putem vedea cum a fost utilizată filtrarea pentru a afișa numai serverele din Columbia și observăm că există 250 de servere disponibile. Pentru fiecare server, sunt furnizate anumite detalii, care pot fi văzute în imaginea următoare.

Imaginea 4: Informații detaliate despre accesul la serverul oferit pe Dark Web

După achiziționarea unui astfel de acces, un infractor cibernetic ar putea să-l folosească apoi pentru a rula ransomware-ul sau, probabil, pentru a instala programe malware mai discrete, cum ar fi troieni bancari sau spyware.

Închirierea infrastructurii

Unii infractori cibernetici care au dezvoltat botneturi sau rețele de computere compromise își închiriază puterea de calcul, folosind-o pentru trimiterea de e-mailuri spam sau pentru lansarea unor atacuri de tip DDoS.

În cazul atacurilor de tip denial of service, prețul variază în funcție de durata atacului (de la 1 la 24 de ore) și de traficul pe care botnet-ul îl poate genera în acel moment. Imaginea de mai jos prezintă un exemplu care costă 60 dolari/trei ore.

Imaginea 5: Exemplu de ofertă pentru închirierea infrastructurii criminalilor cibernetici, pentru a lansa atacuri DDoS

Puteți găsi chiar adolescenți și adulți care se oferă să-și închirieze botneturile, mai ales pentru a ataca serverele folosite de jocuri online precum Fortnite. Ei folosesc rețelele sociale pentru a se promova și nu par a fi deosebit de preocupați să rămână anonimi. În multe cazuri, ei vin și cu oferte pentru vânzarea de conturi furate.

Imaginea 6 - Instagram, fiind folosit ca platformă pentru a oferi botneturi de închiriat

Imaginea 7 - Utilizatorii YouTube afișează atacuri DDoS pe serverele Fortnite

Vânzarea de conturi PayPal și de carduri de credit

Criminalii cibernetici care lansează atacuri phishing de succes nu-și asumă riscul de a folosi ei, înșiși, conturile furate. Este deja suficient de profitabil și mult mai sigur pentru ei să vândă aceste conturi altor persoane. După cum vedem în imaginea următoare, aceștia percep în general aproximativ 10% din totalul creditelor disponibile în contul furat.

Imaginea 8 - Vânzarea de conturi PayPal și de carduri de credit

Unii vendori sunt chiar încântați să-și arate instrumentele și site-urile false utilizate, pentru a-și desfășura activitatea de phishing.

Imaginea 9 - Criminalii cibernetici explicând lucrurile pas cu pas

Deci, putem vedea că infractorii cibernetici, ascunși de instrumentele care le dau un anumit grad de anonimat, au pus laolaltă o industrie criminală profitabilă, care include totul, de la publicitate și marketing până la servicii pentru clienți, actualizări și manuale de utilizare. Este demn de remarcat, însă, că în acest ecosistem criminal există mulți clienți interni, iar profitul real este realizat de cei de top care au deja o infrastructură sau un serviciu bine pus la punct.

În timpul prezentării la Segurinfo 2018, Tony Anscombe, cercetător ESET în securitate globală, a menționat că „industria malware a încetat să mai fie perturbată și are acum caracteristici similare cu cele ale unei companii de software", ceea ce înseamnă că software-ul, produsele și serviciile oferite de infractorii cibernetici din cadrul aceastei industrii beneficiază acum de procese bine stabilite pentru vânzări, marketing și distribuție.

Lasa un comentariu