Die Cyberkriminalitätsbranche hat die Welt im Jahr 2015 drei Billionen Dollar gekostet und
soll bis 2021 auf sechs Billionen Dollar anwachsen. Alle Kosten werden in einem Komplex bewertet - bei einem Angriff mit dem Encoder berücksichtigen wir beispielsweise nicht nur die Höhe des Lösegelds, sondern auch die Kosten für die Reduzierung der Produktivität, die anschließende Verstärkung von Sicherheitsmaßnahmen, Bildschäden und nicht nur.
Cyberkriminalität als Dienstleistung ist nichts grundlegend Neues. Malware-Entwickler bieten Produkte oder Infrastruktur auf dem Schwarzmarkt an. Aber was genau verkaufen sie und wie viel kostet es? Wir haben uns mehrere Darknet-Sites angesehen, um Antworten auf diese Fragen zu finden.
Ransomware als Service
Im Darknet sind viele Ransomware-Pakete verfügbar. Updates, technischer Support, Zugang zu C & C-Servern, Tarifpläne - mit Ausnahme des gesetzlichen Verbots ist alles wie bei der "weißen" Software.
Abbildung 1. Auf Darknet verfügbare Ranion-RansomwareAls Teil eines der Pakete wird die Ranion-Ransomware angeboten, die für einen Monat und ein Jahr im Abonnement erhältlich ist. Es gibt mehrere Tarifpläne, die Mindestgebühr beginnt bei 120 USD pro Monat. Premium-Bundle - 900 US-Dollar pro Jahr oder 1900 US-Dollar, wenn der Kunde der ausführbaren Datei des Programms zusätzliche Funktionen hinzufügen möchte.
Abbildung 2. Abonnementoptionen für Cybercriminal RanionEin anderes Zahlungsschema ist möglich: Cyberkriminelle stellen Malware oder kostenlosen Zugriff auf die C & C-Infrastruktur zur Verfügung und nehmen dann an den von den Opfern erhaltenen Mitteln teil.
Unabhängig von der angewandten Strategie sehen wir, dass der Mandant weitere Operationen mit der Malware übernimmt. Er muss das Programm auf dem Gerät des Opfers bereitstellen, z. B. per Spam-Mail oder
über RDP auf anfällige Server
zugreifen .
Serverzugriff verkaufen
Im Darknet finden Sie Dienste mit Anmeldeinformationen für den Zugriff auf Server über das RDP-Protokoll. Der Preis liegt im Bereich von 8 bis 15 US-Dollar pro Server. Sie können nach Land und Betriebssystem sortiert werden, auch nach den Zahlungsseiten, die Benutzer von diesen Servern aus besucht haben.
Abbildung 3. Verkauf des Serverzugriffs in Kolumbien über RDPIm Bild oben - ein Filter nach 250 verfügbaren Servern in Kolumbien. Für jeden Server werden detaillierte Informationen bereitgestellt, die in der folgenden Abbildung dargestellt sind.
Abbildung 4. Beschreibung des Serverzugriffs, auf den im Darknet verkauft wirdNach dem Kauf des Zugriffs kann ein Cyberkrimineller damit ein Ransomware-Programm starten oder geheimere Malware, einen Trojaner oder Spyware installieren.
Infrastrukturvermietung
Einige Botnetzbetreiber leasen ihre Rechenleistung, um Spam- oder DDoS-Angriffe zu senden.
Die Kosten solcher Angriffe variieren je nach Dauer (im Bereich von 1 bis 24 Stunden) und davon, wie viel Verkehr das Botnetz zu diesem Zeitpunkt generieren kann. In der folgenden Abbildung eine Variante mit einem dreistündigen Angriff für 60 US-Dollar.
Abbildung 5. Beispiel eines Mietangebots für einen DDoS-AngriffEinige bieten an, ihre (normalerweise kleinen) Botnets für Angriffe auf Online-Spieleserver wie Fortnite zu mieten. Sie verkaufen oft gestohlene Konten. Soziale Netzwerke werden verwendet, um die „Dienste“ zu bewerben. Kontoinhaber sind nicht besonders besorgt über die Anonymität.
Abbildung 6. Botnet-Mietangebote auf Instagram
Abbildung 7. YouTube-Nutzer demonstrieren DDoS-Angriffe auf Fortnite-ServerVerkauf von PayPal-Konten und Kreditkarten
Betreiber erfolgreicher Phishing-Angriffe riskieren häufig nicht, ihre gestohlenen Konten selbst zu verwenden. Es ist sicherer und kostengünstiger, Beute an andere Cyberkriminelle weiterzuverkaufen. Wie aus der folgenden Tabelle hervorgeht, nehmen sie etwa 10% der Mittel auf einem kompromittierten Konto ein.
Abbildung 8. Verkauf von PayPal-Konten und KreditkartenEinige Verkäufer zeigen stolz gefälschte Websites und andere Phishing-Tools an.
Abbildung 9. Schrittweise ProzessbeschreibungIn einer Präsentation auf der
Segurinfo 2018 stellte der ESET-Evangelist Tony Enscomb fest, dass die Malware-Entwicklungsbranche jetzt einem Softwareunternehmen ähnelt. Die von Cyberkriminellen angebotene Software, Produkte und Dienstleistungen nutzen erfolgreich Systeme, die aus dem „legalen“ Vertrieb stammen.
Das Darknet verfügt über eine vollwertige Branche mit Vertrieb, Marketing, Kundendienst, Veröffentlichung von Software-Updates und Handbüchern. Es gibt viele inländische Käufer im Ökosystem, und der Hauptgewinn geht an große Unternehmen mit dem am weitesten entwickelten Infrastrukturnetz und -sortiment. Infolge der Entwicklung der „Industrie“ gibt es eine größere Verfügbarkeit von Malware, kombiniert mit deren technologischen Komplikationen.