Согласно новому отчету, опубликованному исследователями из компании Intel 471, в настоящее время более 25 хак-групп предлагают свои услуги по схеме «вымогатель как услуга» (Ransomware-as-a-Service, RaaS). То есть они сдают вымогательскую малварь в аренду другим преступникам.

По сути, разработчики RaaS-малвари предоставляют готовый код шифровальщиков другим хакерам. Такие «клиенты» арендуют код шифровальщика у его авторов, настраивают его под себя, а затем используют в атаках по своему усмотрению. Так, арендованный шифровальщик может распространяться при помощи целевых фишинговых кампаний, массовых спам-рассылок, использования скомпрометированных учетных данных RDP или эксплуатации уязвимостей в различных сетевых устройствах. У таких атак есть только один «общий знаменатель»: итоговой целью всегда является получение доступа к внутренней сети компании-жертвы.

Выкупы, которые хакеры «зарабатывают» на таких атаках, поступают на счет разработчиков RaaS-малвари, те оставляют себе небольшой процент, а затем пересылают оставшуюся часть своим «клиентам».

Аналитики Intel 471 пишут, что сейчас на черном рынке RaaS-малварь предлагают более 25 группировок, и это куда больше, чем ранее предполагали многие ИБ-эксперты.

При этом исследователи отмечают, что не все обнаруженные RaaS одинаковы и разделяют малварь на три уровня, в зависимости от ее сложности, функций и подтвержденной истории атак.

Уровень 1 – это наиболее известные вымогатели на сегодняшний день. На этот уровень попали группировки активные уже много месяцев, доказавшие жизнеспособность своего кода с помощью большого количества атак, и продолжающие работать, невзирая на публичное разоблачение. В этот список вошли REvil, Netwalker, DopplePaymer, Egregor (Maze) и Ryuk.

Все эти вредоносы хорошо известны и, за исключением Ryuk, имеют собственные сайты для слива данных, где публикуют похищенную у пострадавших компаний информацию, если жертвы отказываются платить.

Операторы этих шифровальщиков используют самые разные векторы атак. Они могут взламывать сети жертв, используя ошибки в сетевых устройствах (и нанимая для этого сетевых экспертов); могут загрузить пейлоад вымогателя в систему, уже зараженную другой малварью (сотрудничают с другими хак-группами); могут получить доступ к сети компании через RDP (сотрудничают с операторами ботнетов или продавцами скомпрометированных учетных данных).

Уровень 2 отведен для RaaS-группировок, которые уже приобрели репутацию среди других хакеров, предлагают весьма продвинутую малварь, однако пока не имеют такого количества «клиентов», как группировки первого уровня. Так, на этот уровень попали Avaddon, Conti, Clop, DarkSide, Mespinoza (Pysa), RagnarLocker, Ranzy (Ako), SunCrypt и Thanos.

Имя Дата обнаружения Взяли ответственность за атаку Место продажи Блог
Avaddon Март 2020 Менее 10 раз Exploit Да
Conti Август 2020 142 раза В частном порядке Да
Clop Март 2020 Более 10 раз N/A Да
DarkSide Август 2020 Менее 5 раз Exploit Да
Pysa/Mespinoza Август 2020 Более 40 раз N/A Да
Ragnar Декабрь 2019 Более 25 раз Exploit Да
Ranzy Октябрь 2020 1 раз Exploit и XSS Да
SunCrypt Октябрь 2019 Более 20 раз Mazafaka Да
Thanos Август 2020 Более 5 раз Raid Нет

 

Уровень 3 — это RaaS-предложения появившиеся совсем недавно, детальная информация о которых отсутствует. В некоторых случаях даже нельзя понять, актины ли эти группировки сейчас, или они уже оставили безуспешные попытки наладить собственный вымогательский «бизнес». В число таких новичков вошли CVartek.u45, Exorcist, Gothmog, Lolkek, Muchlove, Nemty, Rush, Wally, Xinof, Zeoticus и ZagreuS.

Название Дата обнаружения Известные инциденты Место продажи Блог
CVartek.u45 Март 2020 Нет Torum Нет
Exorcist Июль 2020 Нет XSS Нет
Gothmog Июль 2020 Нет Exploit Нет
Lolkek Июль 2020 Нет XSS Нет
Muchlove Апрель 2020 Нет XSS Нет
Nemty Февраль 2020 1 XSS Да
Rush Июль 2020 Нет XSS Нет
Wally Февраль 2020 Нет Nulled Нет
XINOF Июль 2020 Нет Частный Telegram-канал Нет
Zeoticus Декабрь 2019, Сентябрь 2020 Нет XSS/Частные каналы Нет

 

 

 

Оставить мнение