A indústria do crime cibernético custou ao mundo três trilhões de dólares em 2015 e deve crescer para seis trilhões até 2021. Todos os custos são avaliados em um complexo - por exemplo, em um ataque usando o codificador, consideramos não apenas a quantidade do resgate, mas também os custos da redução da produtividade, o subsequente fortalecimento das medidas de segurança, danos à imagem e não apenas.
O cibercrime como serviço não
é algo fundamentalmente novo. Os desenvolvedores de malware oferecem produtos ou infraestrutura no mercado negro. Mas o que exatamente eles vendem e quanto custa? Analisamos vários sites da darknet para encontrar respostas para essas perguntas.
Ransomware como um serviço
Existem muitos pacotes de ransomware disponíveis no darknet. Atualizações, suporte técnico, acesso a servidores C&C, planos tarifários - tudo é como o software "branco", com exceção da proibição legislativa.
Figura 1. Ranion ransomware disponível no darknetComo parte de um dos pacotes, o Ranion ransomware é oferecido e está disponível por assinatura por um mês e um ano. Existem vários planos tarifários, a taxa mínima começa em US $ 120 por mês. Pacote premium - US $ 900 por ano ou US $ 1900, se o cliente desejar adicionar funções adicionais ao arquivo executável do programa.
Figura 2. Opções de assinatura do Cybercriminal RanionOutro esquema de pagamento é possível - os cibercriminosos fornecem malware ou acesso à infra-estrutura de C&C gratuitamente e depois participam dos fundos recebidos das vítimas.
Qualquer que seja a estratégia aplicada, vemos que o inquilino assume novas operações com o Malware. Ele precisa entregar o programa no dispositivo da vítima, por exemplo, via correio de spam ou acesso a servidores vulneráveis
via RDP .
Venda de acesso ao servidor
Na darknet, você pode encontrar serviços que oferecem credenciais para acessar servidores através do protocolo RDP. O preço está na faixa de US $ 8 a 15 por servidor, eles podem ser classificados por país, sistema operacional, mesmo de acordo com os sites de pagamento que os usuários acessaram nesses servidores.
Figura 3. Venda de acesso ao servidor na Colômbia através do RDPNa foto acima - um filtro por 250 servidores disponíveis localizados na Colômbia. Para cada servidor, são fornecidas informações detalhadas, que podem ser vistas na imagem a seguir.
Figura 4. Descrição do acesso do servidor ao qual é vendido no darknetApós a compra do acesso, um cibercriminoso pode usá-lo para iniciar um programa de ransomware ou instalar um malware mais secreto, um cavalo de Tróia ou spyware.
Aluguel de infraestrutura
Alguns operadores de redes de bots alugam seu poder computacional para enviar ataques de spam ou DDoS.
O custo de tais ataques varia de acordo com a duração (no intervalo de 1 a 24 horas) e quanto tráfego a botnet pode gerar no momento. Na figura abaixo, uma variante com um ataque de três horas por US $ 60.
Figura 5. Exemplo de uma oferta de aluguel para um ataque DDoSAlguns se oferecem para alugar suas (geralmente pequenas) redes de bots para ataques a servidores de jogos online, como o Fortnite. Eles costumam vender contas roubadas. As redes sociais são usadas para promover os "serviços"; os proprietários de contas não estão particularmente preocupados com o anonimato.
Figura 6. Ofertas de aluguel de botnet no Instagram
Figura 7. Usuários do YouTube demonstram ataques DDoS em servidores FortniteVenda de contas PayPal e cartões de crédito
Os operadores de ataques bem-sucedidos de phishing geralmente não correm o risco de usar suas contas roubadas por conta própria. É mais seguro e mais econômico revender presas para outros cibercriminosos. Como pode ser visto na tabela abaixo, eles recebem cerca de 10% dos fundos em uma conta comprometida.
Figura 8. Venda de contas e cartões de crédito do PayPalAlguns vendedores orgulhosamente exibem sites falsos e outras ferramentas de phishing.
Figura 9. Descrição do processo passo a passoEm uma apresentação na
Segurinfo 2018, o evangelista da ESET Tony Enscomb observou que o setor de desenvolvimento de malware agora se assemelha a uma empresa de software. O software, produtos e serviços oferecidos pelos criminosos cibernéticos usam com sucesso esquemas emprestados de vendas e distribuição "legais".
A darknet possui um setor completo com vendas, marketing, serviço pós-venda, lançamento de atualizações e manuais de software. Existem muitos compradores domésticos no ecossistema, e o principal lucro é para grandes players com a rede e variedade de infraestrutura mais desenvolvidas. Como resultado do desenvolvimento da "indústria", há uma maior disponibilidade de malware, combinada com a complicação tecnológica.