Wprowadzenie: Rynek, który nie powinien istnieć
W głębi internetu, daleko od wzroku zwykłych użytkowników, istnieje rynek tak dobrze zorganizowany, że przypomina legalny biznes. Różnica jest taka, że zamiast sprzedawać oprogramowanie do zarządzania logistyką czy analityki danych, oferuje się tu narzędzia do kradzieży informacji, wymuszania okupu i przejmowania kontroli nad cudzymi komputerami. To świat Malware-as-a-Service (MaaS) – przestępczego ekosystemu, w którym każdy może wynająć lub kupić gotowe oprogramowanie złośliwe, zamiast pisać je samemu.
Dla dziennikarza śledczego badającego temat cyberprzestępczości, zrozumienie tego rynku to klucz do poznania, jak działa współczesne przestępstwo cybernetyczne. To nie są już samotni hakerzy w garażach – to wyspecjalizowane zespoły oferujące wsparcie techniczne, gwarancję działania, a nawet szkolenia dla klientów. Rynek MaaS przekształcił cyberprzestępczość z umiejętności niszowej w przemysł miliardowy.
Katalog złośliwości: od ransomware’u do infostealer’ów
Darknetowe platformy handlowe wyglądają dziś jak Amazon dla cyberprzestępców. Można tam znaleźć ransomware’u – oprogramowanie, które szyfruje pliki ofiary i wymaga zapłaty okupu. Popularne rodziny takie jak LockBit, BlackCat czy Cl0p są dostępne jako usługa, gdzie autor zarabia na procentach od każdego powiedzionego oszusta. Ceny wariują od kilku tysięcy do setek tysięcy dolarów za licencję.
Równie popularne są infostealer’y – programy, które wykradają hasła, dane logowania, historię przeglądarki i wrażliwe dokumenty. Stealer’y takie jak RedLine czy Vidar są sprzedawane za zaledwie kilkadziesiąt do kilkaset dolarów. Ich atrakcyjność polega na prostocie: każdy bez wiedzy technicznej może kupić gotowy narzędzie, rozpowszechniać je przez maile phishingowe lub złośliwe strony, a następnie sprzedawać skradzione dane na tym samym darknetowym rynku.
Innym produktem handlowym są botnety – sieci zainfekowanych komputerów, które można wynająć do wysyłania spamu, przeprowadzania ataków DDoS (rozproszone ataki odmowy dostępu) lub hostowania innych złośliwych usług. Ktoś inny już przygotował infrastrukturę – ty tylko płacisz za użytkowanie.
Warto również wspomnieć o exploitach – gotowych kodach, które wykorzystują znane lub nieznane luki w systemach Windows, Adobe, przeglądarach internetowych. Sprzedawcy exploitów mogą zarobić dziesiątki tysięcy dolarów za jeden zero-day (lukę nikomu nieznaną). Więcej informacji o technikach rozpowszechniania tego typu narzędzi znajdziesz w [tym opracowaniu] (https://md.sigma2.no/s/26ko2oWBo).
Warunki gwarancji i wspólnota złośliwości
To, co zaskakuje dziennikarza wchodzącego po raz pierwszy do tego świata, to profesjonalizm. Sprzedawcy narzędzi hakerskich oferują gwarancję zadowolenia. Jeśli ransomware nie będzie pracować prawidłowo, dostajesz zwrot pieniędzy. Jeśli infostealer’y będą się zawieszać lub ujawniać ofiary zbyt wcześnie, producent wysyła aktualizację. To jest support klientów, tyle że dla cyberprzestępczości.
Platformy takie jak Dark0de, Genesis czy WhiteHouse (nazwy się zmieniają, ale model pozostaje ten sam) działają jak ochrona kupera i sprzedawcy jednocześnie. Wrzucasz pieniądze na escrow, transakacja następuje, a jeśli transakcja się nie powiedzie, platforma zwraca środki. To wprowadza pewność prawną na rynku, którego vat nie istnieje. Dla cyberprzestępcy oznacza to, że może bezpiecznie kupić narzędzie, wiedzą, że jeśli będzie niefunkcyjne, odzyska pieniądze.
Społeczność wokół tych usług jest również dobrze zorganizowana. W forach i czatach dyskutuje się o efektywności różnych narzędzi, ich wadach, aktualizacjach, obejściach systemów bezpieczeństwa. To jest peer review dla zła – każdy infostealer’em dzieli się opiniami na temat tego, czy rzeczywiście kradnie wszystkie hasła czy tylko część. Dokumentacja jest dokładna, a autorzy aktualizują produkty na bieżąco, aby ominąć antywirusa. Szczegółowe analizy tych procesów znaleźć można w [poniższym raporcie] (https://hedge.grin.hu/s/XgM8pvyBZ).
Ceny i warunki handlu: ile kosztuje cyberzbrodnia?
Dla dziennikarza starającego się zrozumieć ekonomię cyberprzestępczości, ceny są jednoznaczne. Infostealer gotowy do użycia kosztuje 50-500 dolarów. Licencja na ransomware, która pozwala na przeprowadzenie ataku i zarabianie na zajęciu danych – to 5 do 20 tysięcy dolarów, a autor narzędzia bierze 20-30% z każdego okupu. Dostęp do bazy danych z milionami login’ów? 200-2000 dolarów w zależności od aktualności i unikalności danych.
Exploit na zero-day’ę może kosztować dziesiątki tysięcy dolarów. Narzędzie do hakowania sieci korporacyjnych – od kilka do kilkudziesięciu tysięcy. Najdrożej zaś wychodzą usługi pełnoosiągowe – zespoły, które przeprowadzą dla ciebie cały atak od etapu zwiadowczego do kradzieży danych, wszystko za 50-200 tysięcy dolarów.
To biznes, w którym marże są ogromne. Autor ransomware’u napisał kod raz, a następnie zarabia na nim przez lata. To model SaaS (Software as a Service), tyle że dla zbrodni. Platformy hostujące te usługi zarabiają na prowizjach, podobnie jak eBay na opłatach za ogłoszenia. Ekosystem cyberprzestępczości finansuje się sam – oszuści zarabiają pieniądze, które trafiają na platformy sprzedażowe, które zarabiają na prowizjach, które trafiają autorom narzędzi, którzy reinwestują w lepsze oprogramowanie.
Gdzie te narzędzia mieszkają i jak się je wynajmuje?
Darknetowe rynki to wciąż najpopularniejszy kanał dystrybucji, ale niejedynym. Telegram stał się głównym kanałem komunikacji. Boty telegram’a sprzedają dostępy, hacker’skie narzędzia, zaś kanały publiczne reklamują nowe produkty. Wszystko dzieje się w półotwartej przestrzeni, doskonale widoczne dla tych, którzy wiedzą, gdzie szukać.
Discord, często kojarzony ze społeczności graczy, również stał się bazą dla grup hakerskich. Kanały na Discord’zie oferują dostęp do narzędzi, szkolenia, a nawet „helpdesk” – wsparcie techniczne dla kupujących. To całkowicie legalna platforma, którą wykorzystuje się do nielegalne celów, a moderacja Discord’a praktycznie na to nie reaguje.
Fora hakerskie, które istnieją od dziesięciu lat lub dłużej, to też miejsca handlu. Mniej bezpieczne niż darknetowe rynki z escrow, ale bardziej dostępne dla początkujących. Tam dzieją się też dyskusje na temat nowych luk, nowych technik, uczenia się od bardziej doświadczonych. Młodzi hakerzy czytają tam tutoriale, a starsi sprzedają im narzędzia.
Warto tutaj dodać, że niektóre z tych narzędzi trafiają również do firm cyberbezpieczeństwa – w celach badawczych. To szara strefa. Firmy bezpieczeństwa potrzebują wiedzieć, co hakerzy stosują, aby móc się bronić. Pojawia się tu zatem pytanie etyczne i proste pytanie dla dziennikarza: gdzie kończy się obrona, a zaczyna się handel? Bardziej dogłębną analizę tego zagadnienia znaleźć można w [tym opracowaniu] (https://hedgedoc.thuanbui.me/s/FjGvyq01h).
Konsekwencje i przyszłość rynku MaaS
Dla ofiar, konsekwencje są dramatyczne. Mała firma, która padła ofiarą ransomware’u z powodu wynajętego narzędzia, traci dostęp do danych, czasami całkowitość operacyjności. Płaci okup, a i tak dane mogą być sprzedane. Pracownik, którego komputer zainfekował się infostealer’em, może patrzyć, jak jego konto bankowe zostaje puste. Jego tożsamość może być wykorzystana do kolejnych ataków.
Rynek Malware-as-a-Service będzie tylko rosnąć. Wraz z tym, jak cyberprzestępczość profesjonalizuje się, pojawia się coraz więcej specjalizacji. Ktoś pisze stealer’y, ktoś inny zajmuje się ich dystrybucją, ktoś trzeci zdobywa dostępy, a czwarty je sprzedaje. To łańcuch dostaw przestępczości, gdzie każdy zarabia na swoim kawałku.
Dla organów ścigania, śledztwo takich spraw staje się coraz trudniejsze. Autor ransomware’u może mieszkać w kraju, który nie ekstradycjonuje, server może być w innym, kupujący w trzecim. Międzynarodowa współpraca jest powolna i zazwyczaj wymaga zdipomatycznych wysiłków.
Dla dziennikarza – zrozumienie tego rynku to zrozumienie przyszłości cyberprzestępczości. To nie będą już indywidualni hakerzy, ale całe przemysły, gdzie każdy ma swoją rolę, swój procent, i swoje miejsce w ekosystemie.
Artykuł jest analizą stanu obecnego rynku narzędzi hakerskich na bazie dostępnych raportów bezpieczeństwa i obserwacji dziennikarskich. Linki zawarte w artykule to publikacje zawierające dodatkowe dane i analizy na temat tego ekosystemu.
O autorze
