Киберпреступность становится источником солидного дохода даже для рядовых участников теневых схем, утверждает консалтинговая компания в области информационной безопасности Fortinet.
Cтарший аналитик по безопасности в подразделении FortiGuard компании Fortinet Дерек Мэнки (Derek Manky) провел больше года за отслеживанием онлайн-сообществ, в которых виртуальные злоумышленники ведут набор операторов ботнетов. Компания недавно выпустила «Отчет о киберпреступности-2013» (2013 Cybercrime Report), в котором содержится глубокий анализ организации современных спамерских ботнетов.
На основе собранных данных был составлен своеобразный «рейтинг гонораров», выплачиваемых владельцам сетей зараженных компьютеров за различные операции по нелегальной рекламной рассылке или взлому.
«Раньше владельцы ботнетов делали все самостоятельно», – рассказывает Мэнки. По данным отчета, сейчас ботнет – это не просто сеть зараженных ПК, управляемая злоумышленником-одиночкой или группой анонимных лиц. Рассылка спама давно превратилась в полноценный бизнес – для обслуживания своих операций ботнеты, как и легальные компании, набирают сотрудников.
Управление отдельно взятым ботнетом включает в себя множество разнообразных задач. Сюда, помимо непосредственно технических операций, входят, например, консультации юристов, которые помогают оформлять теневые сделки по аренде или покупке зараженных сетей. Или услуги посредников, которые регистрируют по всему миру динамически изменяющиеся IP-адреса, чтобы максимально замаскировать местоположение и масштабы ботнета от служб по борьбе с киберпреступностью.
Специалист по вводу «капчи»
«Сотрудникам» криминального предприятия, оказывающим услуги ботнетам, все это приносит довольно неплохой доход. Исключение – рутинная «грязная» работа, такая как ручной ввод «капчи», для чего злоумышленники нанимают добровольцев в Сети.
Если система автоматической рассылки спама натыкается на защиту от ботов, которая на большинстве веб-сайтов представлена системой CAPTCHA, у спамеров всегда готов один из таких добровольцев, который вручную вводит необходимые слова. Такие мелкие пособники нанимаются посредством онлайн-рекламы, предлагающей заработать на «вводе данных».
Обходятся «специалисты по капче» дешево: за 1 000 введенных сочетаний владелец ботнета платит добровольцу $1. Однако даже такой рутинный труд, как ручной ввод «капчи», играет важную роль в ежедневных операциях спамерских сетей. От количества сотрудников, готовых заниматься такой работой, зависит эффективность обхода антиспам-защиты и масштабы рассылки, которую способен осуществлять ботнет.
По словам Мэнки, владельцы ботнетов используют специализированные программные средства, для того, чтобы отслеживать производительность и исполнительскую дисциплину своих «сотрудников». В этом они мало чем отличаются от коллег-управленцев в легальном бизнесе.
«Черное администрирование»
Другие операции оцениваются дороже. Согласно отчету Fortinet, гонорары операторов, осуществляющих техническое обслуживание нелегальной рекламной рассылки, в зависимости от сложности задачи, могут составлять от $80 до $400. Так, технические консультации по проектированию и настройке ботнета приносят отдельно взятому «черному консультанту» в среднем от $350 до $400 за одно обращение.
«Черные SEO» получают около $80 за 20 000 обратных ссылок (backlinks) на рекламируемые сайты. А вот массовый перебор паролей при помощи облачных сервисов (т.н. cloud cracking) оценивается всего в $17 за 300 млн попыток – стоит заметить, однако, что при должных мощностях перебор такого количества вариантов занимает от силы 20 минут.
За внедрение вредоносного программного обеспечения платят в среднем $100 за 1 000 зараженных компьютеров. По словам Fortinet, здесь плата очень сильно зависит от региона, в котором производится внедрение. Если $100-110 – нормальная цифра для США, то в Южной и Восточной Азии, где вирусные эпидемии носят характер пандемии, за 1000 компьютеров злоумышленник получает не больше $8.
Вирусные закупки
Наибольшую выгоду имеют разработчики вирусов и ПО для управления ботнетом и рассылки спама. Владельцы сетей зараженных ПК ведут активную закупку программного обеспечения, не отставая в этом от легальных организаций.
За копию кода известного ботнета ZeuS владельцу спам-сети приходится выкладывать до $3 000. На втором месте по цене стоит ботнет Butterfly – $900. Цена на более простые ботнеты, чаще используемые в сетях, сдающихся под аренду клиенту (например, код армянского Bredolab, восстановленный методом реверс-инжиниринга), начинается от $50.
Еще одна прибыльная ниша – само вирусное ПО: «троянец» для направленных атак с возможностью удалённого доступа к компьютеру жертвы (в частности, веб-камере) и получения скриншотов, обходится владельцу сети ботов примерно в $250 за новую версию. Столько спамер вынужден отдавать за такие известные вредоносные программы, как Gh0st RAT, Poison Ivy или Turkojan.
Еще выше ценятся наборы эксплойтов: свежие версии GPack, MPack, IcePack и Eleonore приобретаются за сумму от $1,000 до $2,000. Цены на разнообразные «крипторы», «пакеры» и «биндеры» – инструменты маскировки вредоносного кода и защиты от обнаружения антивирусами – варьируются от $10 до $100.
Кривое зеркало бизнеса
Fortinet заключает: киберпреступность в современном мире все больше и больше превращается в отражение легального бизнеса.
Дерек Мэнки приводит такой пример: на одном из форумов, который отследили специалисты FortiGuard, проводился анализ данных, собранных ботнетом из 100 000 зараженных машин с целью определить предпочтения их владельцев. «Это был полноценный интеллектуальный анализ данных», – сказал Мэнки, отметив промышленные масштабы и методы сбора и обработки.
Как остановить рост ботнетов? «Помимо борьбы с организаторами, превентивным способом может стать запрет на регистрацию определенных доменов, – предлагает Fortinet. – Если киберпреступность действует методами легального бизнеса, то и воздействовать на нее можно так же – при помощи юридических рычагов».
«Примером может стать Китай, который после продолжительной критики по поводу неэффективной борьбы с киберпреступностью, предпринял некоторые шаги к ограничению регистрации в своей доменной зоне, в частности – необходимость её оформления на бумаге, что позволяет отслеживать тех, кто их регистрирует», – поясняет Fortinet. Другой пример – рабочая группа по борьбе с трояном Conficker. Группа нашла способ отфильтровывать домены, способные стать потенциальными источниками распространения вируса, и предупреждать их регистрацию.
Источник: CNews.ru.
|
