В некоторых случаях злоумышленники могут использовать сложные схемы перевода криптовалюты через несколько подставных кошельков, чтобы усложнить отслеживание.
И, конечно, немаловажный этап — вывод средств в легальную экономику. Преступники могут создавать сети подставных компаний специально для обналичивания средств. Эти организации используют фиктивные контракты, через которые криминальные деньги постепенно вливаются в легальный мир. На некоторых форумах этой теме посвящены отдельные разделы, где предоставляются услуги под ключ.
Среди всех проанализированных объявлений, посвященных вредоносному ПО, более половины (53%) относится к продаже. Это свидетельствует о том, что рынок ВПО в основном ориентирован на коммерческую модель, когда разработчики и группы злоумышленников монетизируют свои инструменты.
Запросы на покупку составляют 41%, что отражает высокий спрос на готовые решения. Покупатели часто ищут проверенные инструменты, которые должны соответствовать их требованиям. Например, RAT для Android должен обладать записью экрана в реальном времени или стилер с обязательной возможностью кражи информации из всех современных криптокошельков. Раздача вредоносных инструментов встречается в 1% случаев. Это может быть связано с попытками повысить репутацию автора в сообществе.
Распределение сообщений о продаже по типам ВПО демонстрирует предпочтение определенным категориям вредоносных инструментов. Наибольшее количество объявлений (19%) связано с продажей инфостилеров. Их популярность может быть обусловлена не самой высокой ценой: стоимость начинается от 20 $ а, медианное значение составляет 400 $. При этом злоумышленник, потратив небольшую сумму, может получить значительно больший доход, если сумеет грамотно воспользоваться полученной информацией.
Следом идут криптеры и инструменты для обфускации, доля которых составила 17%. Связано это с тем, что за небольшие деньги (цена начинается от 10 $) применение криптеров и обфускаторов позволяет киберпреступникам повысить эффективность своих атак, минимизируя риск обнаружения антивирусными программами.
Тройку лидеров замыкают загрузчики с долей в 16%. Они часто используются злоумышленниками в качестве начальной точки входа в систему жертвы, поскольку помогают обойти средства защиты и доставить другие типы вредоносного ПО, например стилеры или ВПО для удаленного управления. Так, , в третьем квартале 2024 года количество обнаружений загрузчиков выросло на 49%. Цена такого ВПО может начинаться от 50 $, медианное значение составило 400 $.
Доля сообщений о продаже вредоносного программного обеспечения для удаленного управления (RAT), которое по итогам первых трех кварталов популярно у злоумышленников, составляет 12%. RAT привлекает киберпреступников из-за возможности скрытого и постоянного контроля зараженной системы. Например, для шпионажа, поскольку такое ВПО позволяет злоумышленникам отслеживать действия жертвы, собирать конфиденциальную информацию, включая пароли, личные данные или коммерческую информацию. Медианная стоимость RAT составляет 1500 $, а начальная цена — от 80 $.
Но не у всех злоумышленников, особенно начинающих, есть деньги в размере 1 BTC или репутация в подполье. И тогда на сцену выходят утечки необходимых инструментов и гайдбуков.
2Билдер — конструктор, который позволяет создать и настроить вредоносное ПО.
Важно отметить, что MalDev-комьюнити состоит не только из опытных разработчиков. Это сообщество привлекает и менее профессиональных пользователей, которые хотят изучить основы разработки ВПО. Подобно тому, как в легальной сфере многие ищут советы по началу карьеры, новички в дарквебе также просят наставлений от более опытных участников. Начинающие разработчики часто просят советы по выбору языка программирования (например, Python, C++ и другие), который будет наиболее подходящим для создания различных типов вредоносных программ.
3Malware development — процесс разработки вредоносного программного обеспечения, целью которого является кража данных, шпионаж, вымогательство или нарушение работы систем жертвы.
И, конечно, немаловажный этап — вывод средств в легальную экономику. Преступники могут создавать сети подставных компаний специально для обналичивания средств. Эти организации используют фиктивные контракты, через которые криминальные деньги постепенно вливаются в легальный мир. На некоторых форумах этой теме посвящены отдельные разделы, где предоставляются услуги под ключ.
Рисунок 28. Объявления о продаже ООО и ИП
Еще один пример вывода денег — покупка недвижимости с помощью криптовалюты. Некоторые сайты предлагают широкий спектр инвестиций в недвижимость за виртуальные средства.
Рисунок 29. Покупка недвижимости за криптовалюту
Многие преступники активно интересуются, как вывести и легализовать заработанные активы. Для этого они просят совет у более опытных представителей теневого бизнеса или же сами делятся различными схемами и статьями на заданную тему.
Рисунок 30. Схема об отмывании нелегальных денег
Рисунок 31. Статья об отмывании нелегальных денег
Еще одним интересным способом отмывания денег являются онлайн-казино. Схема выглядит следующим образом: киберпреступники сначала делают депозиты на счета в онлайн-казино или на биржах ставок, используя нелегально полученные средства. Эти платформы часто принимают криптовалюту, что делает процесс еще проще для злоумышленников. Деньги можно вывести через одно или несколько казино, чтобы распределить средства и избежать подозрений. После того как деньги проходят через онлайн-казино, преступники выводят средства на банковские счета или криптовалютные кошельки. В некоторых случаях преступники могут использовать ставки с гарантированным исходом. Например, они могут сделать ставки на все возможные исходы одного и того же события с разных аккаунтов. В таком случае они «страхуют» свои средства, зная, что один из их аккаунтов точно выиграет, и потом выводят деньги, как будто это был законный выигрыш.Экономика «в тени»
Вредоносное ПО
Одну из ключевых ролей в арсенале злоумышленников играет вредоносное программное обеспечение. Так, по итогам III квартала 2024 года ВПО применялось в 65% успешных атак на организации. Злоумышленники используют вредоносное ПО для достижения различных целей, например кражи конфиденциальной информации или шифрования файлов с целью дальнейшего требования выкупа.Рисунок 32. Распределение по типам объявлений, посвященные ВПО
Среди всех проанализированных объявлений, посвященных вредоносному ПО, более половины (53%) относится к продаже. Это свидетельствует о том, что рынок ВПО в основном ориентирован на коммерческую модель, когда разработчики и группы злоумышленников монетизируют свои инструменты.
Запросы на покупку составляют 41%, что отражает высокий спрос на готовые решения. Покупатели часто ищут проверенные инструменты, которые должны соответствовать их требованиям. Например, RAT для Android должен обладать записью экрана в реальном времени или стилер с обязательной возможностью кражи информации из всех современных криптокошельков. Раздача вредоносных инструментов встречается в 1% случаев. Это может быть связано с попытками повысить репутацию автора в сообществе.
Рисунок 34. Распределение сообщений о продаже по типам ВПО
Рисунок 35. Распределение типов ВПО по медианной стоимости
Распределение сообщений о продаже по типам ВПО демонстрирует предпочтение определенным категориям вредоносных инструментов. Наибольшее количество объявлений (19%) связано с продажей инфостилеров. Их популярность может быть обусловлена не самой высокой ценой: стоимость начинается от 20 $ а, медианное значение составляет 400 $. При этом злоумышленник, потратив небольшую сумму, может получить значительно больший доход, если сумеет грамотно воспользоваться полученной информацией.
Следом идут криптеры и инструменты для обфускации, доля которых составила 17%. Связано это с тем, что за небольшие деньги (цена начинается от 10 $) применение криптеров и обфускаторов позволяет киберпреступникам повысить эффективность своих атак, минимизируя риск обнаружения антивирусными программами.
Тройку лидеров замыкают загрузчики с долей в 16%. Они часто используются злоумышленниками в качестве начальной точки входа в систему жертвы, поскольку помогают обойти средства защиты и доставить другие типы вредоносного ПО, например стилеры или ВПО для удаленного управления. Так, , в третьем квартале 2024 года количество обнаружений загрузчиков выросло на 49%. Цена такого ВПО может начинаться от 50 $, медианное значение составило 400 $.
Доля сообщений о продаже вредоносного программного обеспечения для удаленного управления (RAT), которое по итогам первых трех кварталов популярно у злоумышленников, составляет 12%. RAT привлекает киберпреступников из-за возможности скрытого и постоянного контроля зараженной системы. Например, для шпионажа, поскольку такое ВПО позволяет злоумышленникам отслеживать действия жертвы, собирать конфиденциальную информацию, включая пароли, личные данные или коммерческую информацию. Медианная стоимость RAT составляет 1500 $, а начальная цена — от 80 $.
- Важно отметить, что стоимость ВПО может сильно варьироваться. Все зависит от типа вредоносного ПО и набора его функций. А большая часть вредоносов продается по подписке (1 неделя – 1 месяц – 3 месяца – 1 год).
Но не у всех злоумышленников, особенно начинающих, есть деньги в размере 1 BTC или репутация в подполье. И тогда на сцену выходят утечки необходимых инструментов и гайдбуков.
RaaS, или Путь от новичка до киберпреступника
Как мы выяснили выше, мануалы являются важной составляющей партнерской программы банд вымогателей. Они могут содержать шаги для подготовки инфраструктуры, получения первоначального доступа в системы организаций или методов повышения привилегий. Стоит отметить, что мануалы злоумышленники могут выставлять на продажу, это является еще одним способом монетизации. Например, один из таких гайдов некогда продавался на теневых площадках за 10 000 $. Распространялся он от лица партнера LockBit. Внутри публикации были инструкции по добыче доступов и многое другое. Стоит отметить, что все приведенные примеры в гайдбуке были использованы на реальных компаниях. Интересно, что в одной из атакованных крупных организаций пароль от корпоративного VPN состоял только из цифр, были открыты тестовые учетные записи, оставленные системными администраторами.
Рисунок 36. Мануал партнера LockBit
Без внимания не останутся и утекшие материалы банды шифровальщиков Conti. В 2021 году недовольный партнер группировки опубликовал на одном из теневых форумов руководства и технические мануалы. Утекшие инструкции использовались для обучения участников партнерской программы киберпреступной группировки. Как и в случае с гайдом партнера LockBit, были подробные инструкции по перемещению внутри периметра, повышению привилегий в системе, отключению антивируса, перечислялись атаки с использованием неправильных параметров или известных уязвимостей (PrintNightmare, EternalBlue и Zerologon), а также указывалось, на какие данные обращать внимание, чтобы в дальнейшем их украсть. Кроме того, в этом мануале описывался инструмент CobaltStrike и, соответственно, подробная методичка по его использованию.
Рисунок 37. Мануал банды шифровальщиков Conti
Стоит отметить и утекшие билдеры2 группировок шифровальщиков. С помощью билдера злоумышленники могут кастомизировать шифровальщики, изменяя параметры (имя процесса, имя файла с требованиями, текст самих требований), а также задавать список расширений шифруемых файлов. Более того, это ПО позволяет сгенерировать декриптор, необходимый для расшифровки данных.2Билдер — конструктор, который позволяет создать и настроить вредоносное ПО.
Рисунок 38. Расширенные параметры для шифровальщика
Несмотря на то, что утечки билдеров могут датироваться 2022 годом, они до сих пор используются киберпреступниками в атаках и, соответственно к ним проявляют интерес в подполье. Например, наиболее часто в атаках типа Cybercrime (в атаках этой категории, как правило, применяются шифровальщики, легитимное ПО для шифрования информации и вайперы) использовался шифровальщик LockBit: его доля составила 37%. Немаловажно, что на основе подобных утечек шифровальщиков могут появляться и новые представители индустрии RaaS.
Рисунок 39. Распространение билдеров шифровальщиков
Утечки мануалов и билдеров шифровальщиков в дарквебе оказывают большое влияние на рынок киберпреступности. Как следствие, подобные публикации снижают барьер для входа в мир кибератак и помогают «выращивать» внутри подполья преступников, что может сказываться на общем повышении их квалификации. Важно подчеркнуть, что этими инструментами могут пользоваться и продвинутые злоумышленники, атакуя государственные предприятия (их целью является не финансовая прибыль, а полное уничтожение данных и инфраструктуры).MalDev-комьюнити
На первый взгляд может показаться, что на теневых ресурсах вся деятельность, связанная с вредоносным ПО, ограничивается лишь продажей и покупкой уже готовых инструментов. Но за время существования дарквеба в нем успешно сформировалось MalDev-сообщество (malware development)3. Внутри комьюнити продолжает развиваться гораздо более сложная экосистема, которая включает услуги по созданию, доработке и адаптации вредоносных программ для удовлетворения конкретных нужд заказчиков. Например, за дополнительную плату клиенты могут попросить опытных разработчиков изменить или улучшить уже существующее вредоносное программное обеспечение.Важно отметить, что MalDev-комьюнити состоит не только из опытных разработчиков. Это сообщество привлекает и менее профессиональных пользователей, которые хотят изучить основы разработки ВПО. Подобно тому, как в легальной сфере многие ищут советы по началу карьеры, новички в дарквебе также просят наставлений от более опытных участников. Начинающие разработчики часто просят советы по выбору языка программирования (например, Python, C++ и другие), который будет наиболее подходящим для создания различных типов вредоносных программ.
3Malware development — процесс разработки вредоносного программного обеспечения, целью которого является кража данных, шпионаж, вымогательство или нарушение работы систем жертвы.
