Больше половины (58%) зловредов, которые распространяли злоумышленники по модели «Вредоносное ПО как услуга» (MaaS , Malware-as-a-Service), — программы-вымогатели. На долю инфостилеров пришлось 24%, а 18% составили ботнеты, загрузчики и бэкдоры. Таковы данные исследования «Лаборатории Касперского»*, в рамках которого эксперты команды Digital Footprint Intelligence изучили 97 семейств вредоносных программ.
«Популярность» программ-вымогателей. Востребованность этого ПО можно объяснить способностью приносить более высокую прибыль в короткие сроки по сравнению с другими типами вредоносного ПО. «Подписаться» на Ransomware-as-a-service (RaaS) злоумышленники могут бесплатно. Услугу же они оплачивают после совершения атаки. Стоимость услуги определяется процентом от выкупа, выплачиваемого жертвой, обычно он составляет от 10% до 40% от каждой транзакции. Однако вступить в такую партнёрскую программу непросто.
Инфостилеры — это вредоносные программы, предназначенные для кражи данных, в том числе логинов, паролей, данных банковских карт, счетов, криптовалютных кошельков, истории браузера.Услуги инфостилеров оплачиваются по модели подписки. Их стоимость составляет от 100** до 300 долларов*** в месяц. Например, Raccoon Stealer, который перестали продавать в начале февраля 2023 года, можно было приобрести за 275 долларов в месяц или за 150 долларов в неделю. Его конкурент, RedLine, продаётся по 150 долларов в месяц. Также на него можно приобрести пожизненную лицензию за 900 долларов. Однако злоумышленники могут нести дополнительные расходы, увеличивающие итоговые затраты на атаки.
Ботнеты, загрузчики и бэкдоры. Для исследования специалисты объединили эти угрозы в одну группу, поскольку часто у них одинаковая цель — загрузить и запустить другие вредоносные программы на устройстве жертвы. Отдельные виды программ, распространяемые по модели MaaS, стоят значительно дороже инфостилеров за счёт более сложного кода, предоставления всей инфраструктуры «оператором» и ограничения мест для партнёров. Однако они позволяют злоумышленникам дольше оставаться незамеченными, как это делает, например, загрузчик Matanbuchus, стоимость которого составляет 4900 долларов в месяц за стандартную версию.
Как работает MaaS. «Вредоносное ПО как услуга» (MaaS) — это незаконная модель бизнеса, предполагающая предоставление в аренду программного обеспечения для осуществления кибератак. Владельцев зловредного ПО, которые занимаются такой деятельностью, называют «операторами», а их клиентов — «партнёрами». Для организации работы по модели MaaS злоумышленники могут использовать теневые площадки и мессенджеры.
«Злоумышленники активно продают в даркнете незаконные товары и услуги, в том числе вредоносные программы и украденные данные. Понимая, как устроен теневой рынок, компании могут получить представление о методах и мотивах потенциальных злоумышленников. С этой информацией мы можем помочь разработать более эффективные стратегии предотвращения кибератак путём выявления и мониторинга деятельности злоумышленников, отслеживания потоков информации, а также возникающих угроз и тенденций», — комментирует Александр Забровский, аналитик Kaspersky Digital Footprint Intelligence.
15 июня в 11:00 (МСК) «Лаборатория Касперского» проведет вебинар «Вредонос по подписке: как работает Malware-as-a-Service». На вебинаре Александр Забровский расскажет, что такое MaaS, из чего он состоит, а также поделится информацией об этой бизнес-модели и её схемах работы. Участникам вебинара будет выслан отчёт «Из чего состоит Malware-as-a-Service». Зарегистрироваться можно по ссылке: https://go.kaspersky.com/ru-malware-as-a-service-report.
Для защиты компаний от киберугроз эксперты «Лаборатории Касперского» рекомендуют:
* Отчёткоманды Kaspersky Digital Footprint Intelligence «Изчегосостоит Malware-as-a-Service». Анализируемое ВПО распространялось в теневом сегменте и на других ресурсах в период с 2015 по 2022 года.
** Здесь и далее речь идёт о долларах США.
*** Здесь и далее стоимость распространяемых программ указана в том числе за июнь 2023 года.
