Достъпът до мрежи от компрометирани компютри се продава като услуга с разнообразни опции и разновидности (снимка: CC0 Public Domain)
ИТ услугите, при които се плаща според потреблението, отдавна са популярни в бизнеса, но същото може да се каже и за подземния свят. Услугите за инсталиране на зловреден код са сполучлив бизнес: киберпрестъпниците, които имат способността да изградят мрежа от заразени компютри, след това продават достъп до тези компютри. Всеки може да го направи сам или да се присъедини към престъпна организация, наречена PPI, като „филиал“.
Хората, които купуват достъп до мрежи от заразени компютри, го правят за различни цели. Най-често това са извършване на DDoS операции, „копаене“ на криптовалута или добиване на полезна информация за извършването на финансови измами.
Как работи
PPI операторите наблюдават броя на инсталациите, местоположението на заразените машини и информацията за спецификациите на компютърния софтуер. За да постигнат това, те обикновено си служат с „товарач“ по време на заразяването. Това им позволява пълно проследяване, но също така дава възможност за управление на „полезните товари“, които да бъдат насочени към заразените устройства.
Един от най-известните и използвани инструменти се нарича PrivateLoader, съобщава Sekoia. PrivateLoader е един от най-разпространените „товарачи“, използвани от киберпрестъпниците през 2022 г. Използва се широко като част от услугата PPI, позволявайки доставянето на множество различни семейства зловреден софтуер, управлявани от няколко киберпрестъпници.
По същество представлява модулен „зареждащ“ софтуерен инструмент, написан на програмния език C++. Има три различни модула. Основният модул е отговорен за прикриването и добиването на ясна информация за параметрите на заразения „хост“; втори модул е отговорен за свързване със сървъра за управление, за да се изтегля и изпълнява „полезният товар“; третият модул отговаря за осигуряването на постоянна работа.
Комуникациите между заразения компютър и командния център се замаскират с помощта на прости алгоритми. Товарачът първо достига до замаскирани URL адреси, вградени в кода, след което изисква подаването на заявки към командния сървър. Той на свой ред предоставя URL адрес на крайния „полезен товар“. Крайното местоположение на полезните товари се е променило през годината, според изследователите на Sekoia.
Изследователите казват, че до момента са намерили четири различни активни сървъра за управление на „работата“, управлявани от PPI услугата, в различни държави. Заедно с това изследователите са открили над 30 уникални командни сървъра, вероятно затворени, след като са били открити от доставчиците на сигурност.
Как се разпределят полезните товари
Кампаниите с PrivateLoader разпространяват различни видове зловреден софтуер. Той може да включва няколко вида „полезен товар“:
- Крадци на информация (множество, напр. Redline, Vidar, Racoon, Eternity, Socelars, FAbookie, YTStealer, AgentTesla, Phoenix и други);
- Рансъмуер
- Ботнет мрежи
- Копачи на криптовалута
- Друг вид зловреден софтуер (DcRAT, Glupteba, Netsupport и Nymaim)
Интересно е да се отбележи, че някои от тези крадци на информация са едни от най-използваните от т. нар. трафери. Изследователите предполагат, че макар повечето PPI услуги да използват собствена мрежа за разпространение на трафик, някои вероятно купуват и услуги за генериране на трафик. Такива се предлагат от екипите на траферите.
Цени и бизнес-схеми
Цените, установени през септември 2022 г., варират от 70 щатски долара за „комбинация от инсталации по целия свят“ до 1000 за конкретни инсталации в точно определен регион. Подземните бизнес-групи могат да продават инсталациите на няколко клиента едновременно или да търгуват с „изключителен достъп“ на по-висока цена. При стартирането си услугата е предложила „до 20 000 инсталации на ден“, но, според изследователите, в момента не могат да бъдат извадени точни данни за възможностите на мрежите.
Как да се защитят организациите?
PPI услугите разчитат на заразяване на множество компютри със зловреден софтуер. Различните оператори, изпълняващи тези услуги, имат различни начини за постигането на тази цел, но една от най-използваните техники е разпространението чрез мрежи от уебсайтове, които предлагат „кракове“ за различен атрактивен софтуер. Друга схема е директното разпространение чрез peer-to-peer мрежи. Поради това потребителите трябва да са наясно, че нелегалните копия на специализиран софтуер често носят със себе си „подарък“ – изпълним файл.
Горещо се препоръчва операционните системи и всичкият софтуер винаги да са актуални, с най-новите корекции, за да се избегне компрометиране чрез често срещани уязвимости. Многофакторното удостоверяване е изключително полезна техника за сигурен достъп до всички услуги, свързани с интернет. Това прави трудно за нападателите да се „намъкнат“ в дадена мрежа и да се представят за легални потребители.