Кіберзлочинці завжди прагнуть бути на крок попереду своїх опонентів (фахівців із кібербезпеки) і це їм це вдається все частіше. Тільки за 2023 рік сталося кілька великих кібератак, зокрема на Державний департамент США та королівську пошту Великої Британії.
За прогнозами Statista, до 2028 року глобальна шкода від кіберзлочинності зросте до $13,82 трильйона. Для порівняння: минулого року вона становила лише $8,15 трильйона.
Цей тренд сформувався зокрема під впливом явища, яке має назву «Кіберзлочинність-як-сервіс» (CaaS). Його вже називають одним із найбільших ризиків у сфері кібербезпеки.
Модель aaS дуже популярна серед клієнтів хмарних провайдерів. Вони отримують готову до використання віртуальну інфраструктуру без великих капіталовкладень і не займаються її підтримкою й обслуговуванням.
Із CaaS все те саме, тільки цього разу інфраструктура перебуває на темній стороні цифрового світу і містить всі необхідні інструменти для здійснення кібератак.
Пропозиції на ринку CaaS найлегше знайти у Даркнеті – частині інтернету, яка не індексується звичайними пошуковими системами та доступна лише через спеціальні програми й налаштування.
Вебсайти в Даркнеті приховані від звичайних користувачів, і саме там зустрічаються анонімні маркетплейси із великим вибором інструментів для кібератак будь-якого масштабу.
Олександр Атаманенко, СEО Octava Defence, розповідає:
«Кіберзлочинці зазвичай вдаються до одного із двох популярних сценаріїв використання послуг на ринку Cybercrime-as-a-Service. Перший: замовник купує результат і не займається кіберактивністю самостійно. Наприклад, замовляє DDoS-атаку, щоб «покласти» сайт конкурента в період гарячих продажів. І це коштує відносно невеликі гроші: $200-500 на добу. Другий сценарій: хакери-профі створюють інструменти, платформу для атак, а потім продають доступ до використання цих інструментів всім охочим до легкої наживи. Це суттєво знижує поріг входу. За такого сценарію використання CaaS сильно масштабує рівень кіберзлочинності та кількість атак».
Передумови для появи та розвитку CaaS
Фраза «попит породжує пропозицію» підходить для цієї історії якнайкраще. Але є й інші фактори. Наприклад, масове проникнення інтернету у всі сфери життя і технічні можливості залишатися анонімними.
З іншого боку, компанії витрачають на інформаційну безпеку величезні бюджети та звертаються до послуг професіоналів із відповідними навичками, щоб захистити свої інфраструктури та дані від кібератак.
Це призвело до того, що знань та досвіду більшості потенційних кіберзлочинців не завжди вистачає для реалізації їхніх амбіційних планів, тому вони звертаються до більш досвідчених колег і вдосконалених інструментів. Усе це дало змогу сформувати ринок CaaS у тому вигляді, в якому ми знаємо його сьогодні.
Mykola Myslovskyi, Senior Frontend Developer at UnderDefense Cyber Security, вбачає ще один фактор, який вже призвів до зростання ринку кіберзлочинних послуг за сервісною моделлю:
«Однозначно сприятиме поширенню моделі CaaS розвиток генеративного ШІ. Одним із головних стримувальних факторів кіберкриміналу як явища був високий поріг входження в галузь, необхідність мати дуже специфічний набір технічних навичок. Розвиток генеративного ШІ суттєво знизив цей поріг і дав змогу більшій кількості людей як надавати CaaS-послуги, так і споживати їх».
Найбільш поширені види CaaS
Під різні завдання кіберзлочинців потрібні різні сервіси. Ось лише деякі з них, якими вони користуються найчастіше:
- Malware-as-a-Service («зловмисне програмне забезпечення як сервіс»). Включає розробку, поширення та підтримку вимагачів, троянів і їм подібних. Наприклад, програми-вимагачі (RaaS) шифрують дані жертви – окремі файли, папки та навіть код операційної системи, а після вимагають викуп за дешифрування. Користувачі таких платформ можуть самостійно встановлювати суми викупу й одночасно керувати кількома кампаніями-атаками.
- Exploit-as-a-Service («експлойт як сервіс»). Доступ до раніше невідомих вразливостей (експлойтів нульового дня) або інструментів, за допомогою яких можна використовувати знайдені раніше вразливості у злочинних цілях.
- Infrastructure-as-a-Service («інфраструктура як сервіс»). Доступ до мережі раніше скомпрометованих пристроїв, які можна використовувати для розсилання спаму або DDoS-атак. Розподілені атаки типу «відмова в обслуговуванні» надають доступ до ботнетів, а вже їх можна використовувати для запуску атак на вимогу. Наприклад, на урядові сайти, ігрові сервери, великі інтернет-магазини тощо.
- Hacking-as-a-Service («хакерство як сервіс»). Свої послуги надають досвідчені хакери. До них звертаються для зламу систем і мереж, крадіжок даних.
Як працює CaaS: приклад комплекту для RaaS
Комплекти RaaS – одні з найпопулярніших серед кіберзлочинців завдяки своїй ціні: вартість доступу становить від сотні до кількох тисяч доларів.
Оплачувати RaaS можна кількома різними способами. Найпростіший із них – це вносити фіксовану щомісячну плату, але є й менш популярні разові ліцензійні платежі.
Крім того, працює так звана партнерська модель, де окрім абонплати користувач передає частину прибутку розробникам. Також можна користуватися інструментами безкоштовно, але значну частину прибутку необхідно буде віддавати розробникам.
Програми-вимагачі, які пропонуються по сервісній моделі, дають змогу практично будь-кому здійснювати атаки, адже користуватися комплектом RaaS дуже просто, з цим впорається навіть новачок.
Достатньо виконати кілька нескладних налаштувань. Для цього не обов’язково мати високі технічні навички чи знання в галузі кібербезпеки. На додаток деякі оператори RaaS навіть мають службу підтримки, щоб клієнти могли швидко скористатися відомими вразливостями.
Зазвичай комплекти RaaS використовуються для зараження за допомогою зловмисних посилань і фішингових листів. При цьому в дешевшому варіанті користувачеві самому доводиться займатися доставленням зловмисного коду, тоді як у дорогих пакетах рутинні завдання будуть автоматизовані.
Як тільки відбувається зараження системи, злочинець отримує контроль над нею і відправляє повідомлення з вимогою викупу. Іноді до нього навіть додають посилання на інструменти, які спрощують процес оплати.
Багато джерел стверджують, що наймасовішою серед програм-вимагачів є Ryuk Ransomware.
Реальні способи захисту від CaaS
Для захисту цифрових активів перш за все необхідно дотримуватися загальних рекомендацій щодо інформаційної безпеки. А саме:
- Встановлювати всі оновлення та підтримувати ПЗ в актуальному стані, щоб знизити ризики того, що зловмисники користуються вже відомими вразливостями.
- Переглядати політику створення та використання паролів для всіх облікових записів і за можливості підключати багатофакторну автентифікацію для доступу до критичних сервісів.
- Робити резервні копії важливих даних, щоб мати змогу швидко відновити їх у разі крадіжки, пошкодження або шифрування. Для цього ідеально підходять послуги «бекап як сервіс» та «аварійне відновлення як сервіс».
- Підвищувати інформаційну грамотність, щоб мінімізувати ймовірність переходу за підозрілими посиланнями, відкривання фішингових листів, завантаження зловмисного коду.
- Інвестувати в комплексні рішення для забезпечення кібербезпеки – від антивірусного ПЗ до систем виявлення вторгнень.
Олександр Атаманенко вважає, що Cybercrime-as-a-Service мало змінив підходи до кіберзахисту:
«Організаціям так само потрібно продовжувати оцінювати свою карту ризиків та загроз, впроваджувати технічні засоби захисту, будувати моніторинг і налаштовувати процеси реагування. Але треба розуміти, що CaaS – це дуже масштабована історія, адже підвищує кількість кібератак і тих, хто в них задіяний, хоча самі кібератаки стають більш типовими. Тут є і плюси для захисту: якщо розібратися з механікою та інструментами типових атак, впровадити відповідні механізми захисту, можна відсікти велику кількість злочинців. І тоді твоя команда реагування вже концентрується на «розборі» значно меншої кількості подій. Тому тут важливо бути в курсі того, що ринок CaaS пропонує злочинцям, і працювати на випередження».
Крім того, ви можете скористатися оберненою моделлю «все включено», яка працює зворотним чином. Йдеться про CSaaS (CyberSecurity-as-a-Service) – аутсорсингову модель управління кібербезпекою.
Інакше кажучи, якщо у компанії немає бажання, ресурсів і досвіду самостійно займатися питаннями кібербезпеки, завжди можна делегувати їх сторонньому постачальнику.
Загрози CaaS для бізнесу
Тенденції невтішні: ринок CaaS насичується, основні гравці на ньому конкурують із новачками, що закономірно призводить до демпінгу цін. Відповідно багато інструментів для кібератак стають ще більш доступними.
Крім того, за останні кілька років ринок CaaS досяг певного рівня зрілості, а створенням комплектів шкідливого ПЗ займаються талановиті кіберфахівці. Усе це несе пряму загрозу для бізнесу.
Як показує практика, захиститися на 100% від розповсюдження фішингових повідомлень, які доволі просто розпізнати, не можуть навіть компанії рівня Google та Facebook.
Основна загроза CaaS для бізнесу полягає в тому, що з його сервісами масштабні й руйнівні кібератаки стають доступними навіть для непрофесіоналів. Яскравий приклад цьому – випадок із ботнетом Emotet.
У Check Point з’ясували, що доступ до нього можна було купити всього за $500 на місяць. Потужна хвиля атак програм-вимагачів, яка прийшла наприкінці 2020 року, вивела його на перше місце у глобальному індексі загроз. При цьому усунення кожного інциденту, пов’язаного з Emotet, в середньому обійшлося компаніям у понад $1 мільйон.
Mykola Myslovskyi наголошує, що тема CaaS є актуальною і для нашої країни:
«Проти українських організацій зараз грає фактор кібервійни з рф – ворог може залучати таким чином додаткові ресурси для досягнення своїх цілей. Водночас я мало чув про реальні такі випадки, але, можливо, вони з'являтимуться частіше з погіршенням економічного становища країни-ворога. На нашу користь нині грає непросте економічне становище в Україні, адже cybercrime потребує якоїсь вигоди, і кіберзлочинцям цікавіше цілитися на більш грошовиті організації західної Європи та США. Важко сказати, який із цих факторів превалює, але очікую підвищення кількості використання CaaS (зокрема націлених на українські організації) просто тому, що ця галузь зараз активно розвивається, залучаючи дедалі менш технічних людей».
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!