Sophos исследовала колыбель зла в даркнете

Специалисты из отдела киберразведки компании Sophos в период с июня 2023 года по февраль 2024 года выявили на четырех теневых форумах 19 различных видов вымогательского ПО, которое предлагалось к продаже за относительно небольшие суммы. Цена варьировалась от $20 до 0,5 биткоина (около $13 000 на момент проведения исследования).

Эксперты проводят параллель между этими инструментами и дешевым импортным оружием, которое в 60-70-е годы прошлого века хлынуло на рынок США. Несмотря на ненадежность таких решений, они предоставляют начинающим киберпреступникам ряд существенных преимуществ — низкий порог вхождения в криминальный бизнес и относительно слабую отслеживаемость. Это позволяет заниматься вымогательством самостоятельно, без необходимости взаимодействовать с сетями аффилиатов, которые обычно присваивают себе значительную долю прибыли.

По мнению специалистов Sophos, такие вредоносные программы, как EvilExtractor, действительно могут оказаться ненадежными. Некоторые из них даже содержат встроенные «закладки» — скрытые функции, дающие злоумышленникам возможность удаленно контролировать инфицированные системы или получать доступ к данным как пользователей, так и неопытных «коллег».

Тем не менее, юные хакеры, вероятно, готовы мириться со всеми рисками, поскольку использование подобных инструментов может стать для них первым шагом на пути к более прибыльной деятельности в составе известных киберпреступных группировок.

Хотя эффективность дешевых вымогательских программ в реальных атаках остается невыясненной, исследователи отмечают, что, например, EvilExtractor уже использовалась в прошлом году при атаках в США и Европе. Также имеются сообщения о трех других вариантах, успешно применявшихся злоумышленниками.

Большинство инцидентов, по всей видимости, остаются незамеченными и нераскрытыми, так как они направлены преимущественно против небольших компаний и частных лиц, которые не могут позволить себе дорогостоящие средства защиты.

Анализ активности на теневых форумах, где продаются дешевые вымогательские программы, выявил их «любительский» характер. В отличие от наиболее известных площадок даркнета, здесь пользователи не стесняются задавать глупые вопросы и свободно делятся информацией, в том числе руководствами по разработке и применению ПО. Среди самых популярных материалов — мануал, написанный известным оператором вымогательского ПО под ником Bassterlord.

Исследователи приводят в пример сообщение одного из участников форума, который планировал провести «целевой фишинг для получения доступа к системе, а затем собрать как можно больше ценных данных и запустить программу-вымогатель». Он просил совета у других членов сообщества относительно возможных перспективных целей для такой атаки и рекомендаций по ее осуществлению, поскольку это был его первый опыт.

Sophos подчеркивает серьезность проблемы доступности вредоносных программ на теневых интернет-форумах. Это явление создает значительные трудности для специалистов по кибербезопасности, поскольку большинство таких атак остаются незамеченными и не получают должного освещения. Это оставляет брешь в информации, которую сообществу предстоит восполнить.