Аналитики компании Digital Shadows подготовили отчет о рынке эксплоитов в даркнете. Отмечается, преступники придумали схему «эксплоит как услуга», а у некоторых злоумышленников есть многомиллионные бюджеты на приобретение эксплоитов для 0-day. Исследователи объясняют, что злоумышленники, финансово мотивированные киберпреступники и «правительственные хакеры» быстро внедряют новые методы атак и постоянно находятся в поиске новых эксплоитов.
«Эта сцена наполнена множеством широко известных преступников, которые могут похвастаться целым спектром технических знаний и мотивов», — гласит отчет.
Исследователи пишут, что хотя чаще всего покупка и продажа эксплоитов происходит в частных беседах, но порой уязвимости покупают и продают и прямо на хакерских форумах. К примеру, в начале мая 2021 года хакер открыто предлагал 25 000 долларов за PoC-эксплоит для критической уязвимости CVE-2021-22893, затрагивающей Pulse Secure VPN. Эта проблема использовалась китайскими хакерами как минимум с апреля текущего года.
Другой хакер и вовсе заявлял, что готов заплатить до 3 000 000 долларов за эксплоиты для RCE-уязвимостей в Windows 10 и Linux, использование которых не потребует никакого взаимодействия с пользователем. Тот же пользователь предлагал до 150 000 долларов за ранее неиспользовавшиеся методы запуска малвари в Windows 10, которые позволят вредоносному ПО сохранять активность при каждой загрузке системы.
Для сравнения, известный брокер эксплоитов, компания Zerodium предлагает до 1 000 000 долларов за zero-click RCE в Windows 10. А больше всего, до 2 500 000 долларов, компания готова заплатить за цепочку стойких zero-click эксплоитов для Android, и 2 000 000 долларов за эквивалент такой атаки для iOS.
Исследователи Digital Shadows рассказывают, что им доводилось наблюдать, как некоторые хакеры ведут переговоры об эксплоитах для уязвимостей нулевого дня по цене 10 000 000 долларов. Причем такие цены могут позволить себе не только «правительственные хакеры», но и другие киберпреступники, особенно операторы программ-вымогателей.
Однако совершать такие сделки непросто, это может занимать много времени. В таком случае разработчики эксплоита могут потерять шанс заработать, ведь их конкуренты могут предложить свой вариант эксплоита и снизить цену. По этой причине, пишет Digital Shadows, киберпреступники активно обсуждают схему «эксплоит как услуга», которая позволяла бы разработчикам сдавать такие эксплоиты в аренду сразу нескольким сторонам.
«Кроме того, используя такую модель, арендаторы смогут протестировать предлагаемый 0-day, а затем решить, стоит ли покупать эксплоит на эксклюзивных или неэксклюзивных условиях » — говорят эксперты.
В рамках отчета эксперты Digital Shadows разделили преступников на несколько групп, отмечая, что между ними «могут быть серьезные пересечения».
- Крупные игроки: злоумышленники, которые продают и покупают 0-day эксплоиты по ценам от 1 000 000 долларов США. Их могут спонсировать государства или успешные предприниматели.
- Обычные продавцы: продавцы, торгующие не особенно критическими уязвимостями, наборами эксплоитов и базами данных с информацией (названия и IP-адреса) о компаниях с открытыми уязвимостями.
- Обычные покупатели: люди с техническими навыками, которые заинтересованы в покупке эксплоитов, но редко имеют средства для совершения такой покупки. Обычно ждут, пока упадут цены.
- Популяризаторы кода: преступники, которые публикуют и рекламируют свои эксплоиты на GitHub.
- Показательные выступления: высокоспециализированные участники форума, которые обсуждают ошибки, участвуют в соревнованиях и делятся некоторыми знаниями о работе эксплоитов.
- Новички: наименее подготовленные пользователи, которые учатся у более понимающих участников форума. Иногда применяют полученные знания на практике и делятся информацией на других форумах, чтобы заработать себе репутацию, или в рамках «общественной деятельности».
- Новостники: участники форумов, которые делятся с остальными статьями и новостями о недавно обнаруженных уязвимостях.