Эксперты рассказали об основных сервисах и услугах киберпреступных группировок
В отчетах о кибербезопасности часто говорится о киберпреступниках и их вредоносных программах или кампаниях как об отдельных событиях, но на самом деле сеть киберпреступности намного меньше и гораздо более взаимосвязана, чем можно себе представить. Исследователи безопасности из компании CrowdStrike составили список связей между различными киберпреступными группировками.
Группы киберпреступников часто имеют сложные цепочки поставок, как, например, производители ПО, и они регулярно развивают отношения с остальной частью киберпреступного мира с целью доступа к важнейшим технологиям взлома и получения прибыли. По словам экспертов, киберпреступные технологии можно разделить на три категории: услуги, распространение и монетизация.
Категория услуг обычно включает: доступ к сетям скомпрометированных компаний, инструменты для осуществления DDoS-атак ("DDoS-как-услуга"), доступ к частным прокси-серверам и сетям VPN для сокрытия местоположения и источника атак, web-инструменты для проведения и автоматизации фишинговых атак, изготовление оборудования (скиммеры для банкоматов, устройства для отслеживания сети и пр.), программы-вымогатели ("вымогательское ПО-как-услуга"), сервисы "преступление-как-услуга" (доступ к банковским троянам или вредоносам), загрузчики, частные web-порталы для тестирования вредоносных программ на ядрах современных антивирусных систем без риска обнаружения, сервисы упаковки вредоносных программ (шифрования кода вредоносного ПО и затруднения его обнаружения антивирусным ПО), услуги по тестированию кредитных и дебетовых карт, инструменты для внедрения вредоносного кода в браузер жертвы при посещении сайтов, пуленепробиваемые хостинги (bulletproof hosting), вербовка в преступных целях.
С другой стороны, услуги по распространению включают: проведение кампаний по рассылку спама в социальных сетях или приложениях для обмена мгновенными сообщениями, рассылку спама по электронной почте, разработку и продажу эксплойтов, покупку трафика со взломанных сайтов и распространение его на вредоносные web-страницы.
По словам специалистов из Crowdstrike, под услугами по монетизации обычно подразумевают: денежных мулов, отмывание денег, сети мошенничества с пересылкой купленных товаров на похищенные средства, магазины дампов, продающие данные взломанных компаний через специализированные сайты и каналы в соцсетях, вымогательство и требование выкупа у взломанных жертв, хищение и продажа информации о платежных картах, криптовалютные сервисы.
Отследить все связи между группами и их поставщиками, а также кто с кем работает, сегодня практически невозможно из-за широкого использования зашифрованных каналов связи между сторонами. Однако в области атак вредоносного ПО некоторые признаки сотрудничества можно наблюдать по тому, как вредоносное ПО перемещается от злоумышленников к зараженным узлам.
Компания использует собственную номенклатуру киберпреступных группировок, поэтому названия некоторых групп могут отличаться от других.
