Киберпреступники: связи между группами

Группы киберпреступников часто имеют сложные цепочки поставок, как у реальных компаний-разработчиков программного обеспечения, и они регулярно развивают отношения с остальной частью экосистемы электронной преступности, чтобы получить доступ к важнейшим технологиям.

Киберпреступники.

В отчетах о кибербезопасности часто говорится об участниках угроз и их вредоносных программах/операциях взлома как об отдельных событиях, но на самом деле экосистема киберпреступности намного меньше и гораздо более взаимосвязана, чем может представить себе непрофессионал.

Группы киберпреступников часто имеют сложные цепочки поставок, как у реальных компаний-разработчиков программного обеспечения, и они регулярно развивают отношения с остальной частью экосистемы электронной преступности, чтобы получить доступ к важнейшим технологиям, которые позволяют им работать или максимизировать их прибыль.

Киберпреступники: услуги, распространение и монетизация

По некоторым данным, эти сторонние технологии можно разделить на три категории: услуги, распространение и монетизация.

В разбивке по каждому из них категория услуг обычно включает:

  • Брокеры доступа — злоумышленники, которые взламывают корпоративные сети и продают доступ во внутреннюю сеть компании другим бандам.
  • Инструменты DDoS-атаки — также известные как DDoS-ускорители или DDoS-по найму, эти группы предоставляют доступ к веб-панелям, откуда любой может запустить DDoS-атаку против цели.
  • Анонимность и шифрование — злоумышленники, продающие доступ к частным прокси-серверам и сетям VPN, чтобы хакеры могли скрыть свое местоположение и источник своих атак.
  • Комплекты для фишинга — злоумышленники, которые создают и поддерживают комплекты фишинга, веб-инструменты, используемые для автоматизации фишинговых атак, и сбор фишинговых учетных данных.
  • Оборудование для продажи — злоумышленники, которые продают оборудование, изготовленное на заказ, такое как скиммеры банкоматов, устройства для отслеживания сети и многое другое.
  • Программы-вымогатели — также известные как «Программа- вымогатель как услуга» или RaaS, эти группы продают доступ к штаммам программ-вымогателей или веб-панели, где другие банды могут создавать свои собственные программы-вымогатели.
  • Crime-as-a-Service — аналогично RaaS, но эти группы предоставляют доступ к банковским троянам или другим формам вредоносного ПО.
  • Загрузчики — также известные как «установщики ботов», это злоумышленники, которые уже заразили компьютеры, смартфоны и серверы своим собственным вредоносным ПО и предлагают «загрузить/установить» вредоносное ПО другой группы в той же системе, чтобы другая группа могла его монетизировать через программы-вымогатели, банковские трояны, кражи информации и т. д.
  • Контрольные антивирусные службы/средства проверки — это частные веб-порталы, на которые разработчики вредоносных программ могут загружать свои образцы и тестировать их на ядрах современных антивирусных систем, не опасаясь, что обнаружение вредоносного ПО будет передано производителю антивирусных программ.
  • Сервисы упаковки вредоносных программ — это веб-инструменты или инструменты для настольных компьютеров, которые разработчики вредоносных программ используют для шифрования кода своего штамма вредоносного ПО и затруднения его обнаружения антивирусным ПО.
  • Услуги по тестированию кредитных/дебетовых карт — это инструменты, которые хакеры используют для проверки того, имеют ли полученные номера платежных карт допустимый формат и действительна ли карта.
  • Наборы веб-инъекций — это специализированные инструменты, обычно используемые вместе с банковскими троянами, чтобы позволить банде банковских троянцев вставить вредоносный код в браузер жертвы, когда они посещают сайт электронного банкинга (или любой другой).
  • Хостинг и инфраструктура — также известные как надежные хостинг-провайдеры, их название самоочевидно, поскольку они предоставляют частную инфраструктуру веб-хостинга, специально предназначенную для преступных группировок.
  • Вербовка в преступных целях — это специализированные группы, которые вербуют, подкупают или обманом заставляют обычных граждан участвовать в операции по киберпреступности.

С другой стороны, услуги по распространению включают:

  • Группы, которые проводят спам-кампании в социальных сетях или приложениях для обмена мгновенными сообщениями.
  • Группы, специализирующиеся на рассылке спама по электронной почте.
  • Группы, разрабатывающие и продающие наборы эксплойтов.
  • Группы, которые покупают трафик с взломанных сайтов и распространяют его на вредоносные веб-страницы, на которых обычно размещаются комплекты эксплойтов, мошенничество с техподдержкой, финансовое мошенничество, фишинговые комплекты и т. д.

Что касается услуг монетизации, как известно в эту категорию обычно входят:

  • Услуги денежных мулов — группы, которые предлагают физически явиться и забрать деньги из взломанных банкоматов, получить деньги на свои банковские счета, а затем перенаправить их хакерам, которые предпочитают услуги по отмыванию денег или пересылке мошенничества.
  • Отмывание денег — группы, которые часто управляют сетями подставных компаний, через которые они переводят средства со взломанных банковских счетов, обналичивания банкоматов или ограблений криптовалюты. Некоторые службы по отмыванию денег также работают в темной сети как службы смешивания биткоинов.
  • Сети мошенничества с пересылкой — группы, которые забирают украденные средства, покупают реальные товары, отправляют товары в другую страну. Продукты, обычно предметы роскоши, такие как автомобили, электроника или ювелирные изделия, затем перепродаются и конвертируются в чистую фиатную валюту, которая передается хакерам, заключившим контракт на их услуги.
  • Свалки — группы, которые продают данные взломанных компаний через специализированные сайты и каналы социальных сетей.
  • Выкуп и вымогательство — группы, специализирующиеся на вымогательстве жертв, с которыми могут заключать контракты другие банды, владеющие украденными данными.
  • Сбор и продажа информации о платежных картах — также известные как магазины карточек , обычно это форумы, куда группы киберпреступников отправляются продавать украденные данные платежных карт.
  • Услуги криптовалюты — форма отмывания денег, эти услуги предлагают «смешать» украденные средства и помочь хакерам потерять след украденных средств.

Отследить все связи между группами и их поставщиками, а также кто с кем работает, сегодня практически невозможно из-за широкого использования зашифрованных каналов связи между сторонами.

Однако в области атак вредоносного ПО некоторые признаки сотрудничества можно наблюдать по тому, как вредоносное ПО перемещается от злоумышленников к зараженным узлам.

Хотя эти соединения никогда не могут быть полностью проверены, также довольно очевидно, что, когда вредоносное ПО Emotet загружает вредоносное ПО TrickBot, обе банды сотрудничают в рамках механизма «загрузчика», предоставленного командой Emotet для банды TrickBot.

Связи между группами киберпреступников

В своем отчете о глобальных угрозах за 2021 год , опубликованном в понедельник, охранная компания CrowdStrike впервые суммировала некоторые связи, которые в настоящее время существуют в подполье киберпреступности между различными операторами электронной преступности.

Компания использует собственную номенклатуру электронных преступных групп, поэтому названия некоторых групп могут отличаться от того, что мы видели раньше. Однако CrowdStrike также предоставляет интерактивный указатель, чтобы любой мог узнать больше о каждой группе и связать ее с именами, используемыми другими компаниями.

Группы киберпреступников.
Киберпреступные группы.

На приведенной выше диаграмме показано, что факторы, способствующие проникновению, играют в кибер-вторжениях такую ​​же важную роль, как и группы, осуществляющие вторжение.

Как отмечено в отдельном отчете в прошлом месяце, правоохранительные органы, скорее всего, добьются лучших результатов в нарушении операций по борьбе с киберпреступностью, нацелившись на этих поставщиков общих услуг, поскольку они могут в конечном итоге нарушить деятельность нескольких групп киберпреступников одновременно.

Кроме того, есть и другие преимущества. Например, в то время как киберпреступные банды высшего уровня часто имеют первоклассную операционную безопасность (OpSec) и не раскрывают никаких подробностей о своих операциях, нацеливание на участников более низкого уровня, которые не всегда защищают свою личность, могут предоставить правоохранительным органам данные, которые могут помочь им разоблачить и выследить более крупные группы.

Добавить комментарий

Ваш адрес email не будет опубликован.