Компания Trusteer Research провела масштабное
исследование рынка вредоносных программ и сервисов, в ходе которого выявлена
реструктуризация предложения и спроса под влиянием различных
факторов. Как выяснилось, криминальный рынок вредоносного ПО имеет довольно
четкое разделение обязанностей, собственные механизмы регуляции и типовые
условия работы. Кроме того, обнаружена конвергенция услуг и повышение начальных
требований со стороны покупателей.
Как показывает исследование Trusteer Research, рынок вредоносного ПО
представляет собой настоящий «черный рынок» XXI века со
всеми современными особенностями. В исследовании четко разграничиваются такие
группы предложений этого рынка, как антивирусная проверка, шифрование вирусов и
заражение вирусами. В то же время, обнаружены новые предложения по принципу
«одного окна», где покупателям предлагается целый набор услуг, включая
заражение машин на территории определенных стран, проверку доставляемых
вирусами файлов на обнаружение новейшими антивирусами и полиморфное шифрование.
Исследователи из Trusteer Research приводят
данные о ценах «черного рынка»: заражение машин стоит от 0,5 до 4,5 центов США
в зависимости от географического положения целей. Полиморфное шифрование
вирусных компонентов обходится заказчикам в 25-50 долларов за каждый вновь
зашифрованный экземпляр файла, а проверка готовых к атаке компонентов на
невидимость для актуальных коммерческих антивирусов стоит 20 долларов в неделю
или 100 долларов в месяц.
Стоит подробнее описать структуру предложения и потребления
«черного рынка». Во-первых, это рынок клиентов, которые сами диктуют цены и
условия работы. Например, покупатель услуг по распространению вирусов и
организации ботнета оплачивает только фактическое число уникальных заражений,
рассчитанное с помощью собственной системы типа Black Hole. Предоплата доступна только для
продавцов, имеющих рекомендации (1-10 «свежих» сообщений на специализированных
форумах) – остальным оплата производится только по факту. В результате цена на
комплексное обслуживание зависит от процента поражаемых машин при массовой
атаке: при заражении 3% от атакованных машин цена составляет 4,5 доллара за
тысячу заражений, при 4% - 6 долл. за тысячу, а при заражении более 20% машин
30 долл. за тысячу.
Что касается механизма работы купленных услуг, стоит
обратить внимание на тот факт, что домены с источником атаки регулярно
проверяют с помощью специального сервиса Scan4you. Если домен заносится в «черный список» антивирусных
продуктов, заказчик автоматически переносит источник атак в другой домен.
Существует даже возврат денег за шифрование вирусных компонентов, если они
все-таки был обнаружены антивирусами по сигнатуре в течение гарантийного срока.
Анализируя данные Trusteer Research, можно лучше понять, почему
оказались настолько массовыми эпидемии ботнет-червей типа Zeus.
Дело в том, что производители антивирусов строят свою защиту на распознавании
сигнатур – характерных особенностей файлов, в которых распространяются вирусы.
Криминальные сервисы шифрования довольно эффективно решают эту проблему: код
вируса остается тем же, но из-за примененных алгоритмов опознать его по старой сигнатуре
уже невозможно, зато сами вирусные модули легко расшифровывают и применяют
полученные обновления. В итоге вирусное заражение остается незамеченным, пока
авторы антивирусов не идентифицируют новые зашифрованные компоненты уже
известного вируса.
По материалам сайта блога компании Trusteer Research.
|
