Что такое crimeware-as-a-service и какова новая угроза для крипто-пользователей?

Crimeware-a-service (CaaS) - это схема преступной деятельности, когда более опытные хакеры и киберпреступники предоставляют свои услуги или инструменты менее опытным за вознаграждение. Эта модель напоминает программное обеспечение как услугу (SaaS), когда провайдер предоставляет абоненту доступ к программному обеспечению. В случае crimeware-as-a-service модель SaaS претерпела изменения в контексте киберпреступности.

На заре киберпреступности злоумышленники действовали, в основном, в одиночку или небольшими группами, используя технологии и пытаясь проникнуть в банковские счета или электронную почту людей для личной выгоды и развлечения. Преступники обычно использовали электронную почту для рассылки вирусов и совершения мошеннических действий. 

Технология Crimeware-as-a-service сделала этот процесс профессиональным. Исторически сложилось так, что для того, чтобы зарабатывать на киберпреступности в крипто-пространстве, необходимо было приобрести множество навыков в различных областях, таких как обнаружение уязвимостей в смарт-контрактах, разработка вредоносного программного обеспечения, совершение мошеннических звонков и так далее. Программа Crimeware-as-a-service упростила совершение преступлений для участников, поскольку они могут просто арендовать необходимое программное обеспечение и услуги.

Эта возможность приобретать инструменты, необходимые для осуществления мошеннических действий, означает, что можно осуществлять всевозможные атаки, такие как вымогательство денег, кража финансовых активов и личных данных, взлом брандмауэров с целью кражи документов и другой конфиденциальной информации, а также сбой крупных компьютерных систем.

Примечательно, что все действия, связанные с разработкой вредоносного программного обеспечения и покупками, происходят в даркнете, невидимой части Интернета, где пользователи могут скрывать свою личность и местоположение. Для доступа к даркнету требуется специализированное программное обеспечение, такое как Tor (Onion Router) или I2P (Invisible Internet Project), поскольку оно недоступно через стандартные браузеры, такие как Chrome или Safari. «Луковая маршрутизация» (Onion routing) предназначена для защиты пользователей от слежки. Пакеты данных направляются через тысячи точек ретрансляции, когда пользователи получают доступ к сайту через темную сеть.

Однако использование даркнета для незаконных действий, таких как приобретение вредоносного программного обеспечения или участие в киберпреступлениях, противоречит закону и может привести к уголовному преследованию.

Цикл «От продукта к услуге» в CaaS

Такой цикл в CaaS состоит из трех этапов: 

Шаг 1: преступник разрабатывает предложение «преступление как услуга». 
Шаг 2: подпольный рекламодатель распространяет эту информацию через форумы в даркнете, что делает ее доступной широкому кругу потенциальных покупателей из преступного мира. 
Шаг 3: после получения заказа и оплаты разработчик продукта предоставляет услугу покупателю в соответствии с указанными условиями использования.

В условиях экономики «программное обеспечение как услуга» киберпреступники предлагают ряд продуктов и услуг, которые предназначены для атак на пользователей криптовалют. Эти предложения включают вредоносное ПО, предназначенное для кражи секретных ключей и учетных данных крипто-кошелька, фишинговые наборы, имитирующие законные биржи или кошельки, и программы-вымогатели, требующие криптовалюту в качестве оплаты.

Киберпреступники предлагают атаки с распределенным отказом в обслуживании (DDoS) в качестве платной услуги, широко известной как «DDoS-атаки по найму». Эти услуги продаются на форумах dark web или специализированных платформах, где отдельные лица или группы могут платить за таргетинг на определенные криптовалютные платформы или другие онлайн-системы. 

Клиенты определяют цель и продолжительность атаки, а поставщики услуг внедряют ботнеты или другие методы атаки, чтобы подавить инфраструктуру объекта, вызывая сбои в работе. Это позволяет даже людям, не обладающим техническими знаниями, легко выполнять разрушительные кибератаки, приобретая эти услуги. 

Преступники также могут помогать кому-либо торговать украденной криптовалютой, конвертируя ее в активы, которые невозможно отследить, или в фиатные деньги с помощью сервисов по отмыванию денег. Предметы для продажи могут включать скомпрометированные учетные записи, подарочные карты или мили авиакомпаний, которые могут быть использованы для получения прибыли. 

Например, фишинговые атаки становятся все более совместными, когда специализированные команды занимаются различными аспектами, такими как разработка вредоносного ПО, обеспечение инфраструктуры, поддержка клиентов и отмывание денег. Такое разделение труда повышает эффективность и снижает техническую нагрузку на отдельных злоумышленников.

крупнейшим ограблением криптовалют в истории остается взлом Bitfinex в 2016 году, в результате которого было украдено 120 000 биткоинов. Текущая стоимость этих украденных токенов превышает 8 миллиардов долларов.

Crimeware-a-service расширяет возможности киберпреступников наносить ущерб своим жертвам различными способами. Это дает им все необходимые инструменты для преступной деятельности, упрощая мошеннические действия и увеличивая вероятность причинения вреда жертвам.

1. Услуги по подписке: продукты Crimeware-as-a-service, как правило, основаны на подписке, что позволяет клиентам оплачивать постоянный доступ к инструментам и поддержке.
2. Индивидуализация: некоторые платформы Crimeware-as-a-service позволяют злоумышленникам адаптировать вредоносное ПО к своим конкретным требованиям, что облегчает поиск конкретных жертв.
3. Доступность: платформы Crimeware-as-a-service предоставляют простой доступ к сложным инструментам, таким как вредоносное ПО и фишинговые наборы, через удобные интерфейсы.
4. Анонимность: эти сервисы работают в «темной паутине», позволяя провайдерам и пользователям сохранять анонимность и усложняя работу правоохранительных органов. 
5. Поддержка и сообщество: преступники-любители могут обсуждать методы совершения преступлений на онлайн-форумах. Это способствует формированию у преступников чувства общности и поддержки со стороны сверстников.

В 2014 году на Mt.Gox, на долю которой в то время приходилось более 70% всех биткоин-транзакций, произошло масштабное нарушение безопасности, которое привело к краже сотен тысяч биткоинов. Биржа была вынуждена объявить о банкротстве, в результате чего многие пользователи понесли значительные убытки и возникли опасения по поводу безопасности криптобирж.

Crimeware - это обобщающий термин, используемый для обозначения различных программ для кражи активов жертв. Преступники используют различные программы, такие как кейлоггеры, троянские программы, программы-вымогатели, рекламное ПО, ботнеты и фишинговые наборы.

1. Клавиатурные шпионы незаметно отслеживают и записывают вводимые с клавиатуры данные, собирая конфиденциальную информацию, такую как пароли. Они могут быть программными или аппаратными. В качестве примеров можно привести Spyrix Free Keylogger и HawkEye.
2. Троянские программы маскируются под легальное программное обеспечение, позволяя злоумышленникам получать несанкционированный доступ или распространять вредоносное ПО. К таким примерам относятся Zeus Trojan и Emotet.
3. Программы-вымогатели шифруют файлы или блокируют системы и требуют плату за восстановление доступа. Они часто распространяются с помощью фишинга или вредоносных загрузок. WannaCry и LockBit являются хорошо известными примерами программ-вымогателей.
4. Рекламное ПО может показывать нежелательную рекламу, собирать пользовательские данные для маркетинга или распространять вредоносное ПО. Оно часто поставляется в комплекте со свободным программным обеспечением. Примерами могут служить Огненный шар и Аллигатор.
5. Ботнеты - это дистанционно управляемые сети скомпрометированных устройств, которые используются для совершения вредоносных действий, таких как DDoS-атаки. Примерами ботнетов являются Mirai и GameOver Zeus.
6. Фишинговые наборы предлагают инструменты для создания фальшивых веб-сайтов и кражи паролей, как правило, нацеленных на электронную почту или финансовые данные. 16Shop и LogoKit являются примерами фишинговых наборов, которые обычно используются для совершения преступлений.

Благодаря CaaS мошенники могут одновременно использовать фишинговые наборы, программы-вымогатели и шпионские программы, нацеленные на тысячи людей. Этот тренд на использование программного обеспечения как услуги подпитывает теневую экономику, в которой крипто-преступность механизирована и становится более доступной, что приводит к значительному финансовому ущербу для жертв. Это привело к снижению затрат на совершение преступлений для мошенников.

Crimeware-as-a-service предоставляет новые возможности, такие как отмывание цифровых денег и DDoS-атаки, которые ранее было сложно реализовать. Такая профессионализация киберпреступности привела к значительным финансовым потерям, поскольку даже неопытные преступники могут быстро и анонимно совершать сложные атаки с высокой отдачей.

Благодаря CaaS киберпреступность превратилась в сложную экосистему, которая состоит из нескольких уровней, включая разработчиков, дистрибьюторов и конечных пользователей.

• Разработчики: первый слой будет состоять из опытных разработчиков, создавших вредоносное программное обеспечение. 
• Распространители: второй слой состоит из мошенников, которые покупают программное обеспечение или подписываются на него и выступают в качестве посредников. Они часто собирают команды для проведения атак или мошеннических действий и продают инструменты через темные веб-площадки или другие подпольные каналы.
• Конечные пользователи: к третьему уровню относятся наемные работники, которые осуществляют атаки, не имея достаточных знаний о более масштабной операции. Эти люди могут взаимодействовать с целями, заставляя их загружать вредоносное программное обеспечение или раскрывать конфиденциальную информацию, такую как данные для входа в крипто-кошелек. Их роль сосредоточена на исполнении, а не на стратегии, что делает их незаменимыми активами в системе.

Это создает сложную ситуацию для правоохранительных органов, поскольку, даже если они обнаруживают, что такая группа совершает людям мошеннические звонки, настоящие преступники часто находятся вне досягаемости, поскольку они в это время пребывают за границей. Их нельзя арестовать и привлечь к ответственности, не завоевав доверия властей этих стран и не пройдя сложный процесс экстрадиции.

Объем криптовалютных платежей злоумышленникам-вымогателям резко вырос в первой половине 2023 года, достигнув 449,1 миллиона долларов, что на 175,8 миллиона долларов больше, чем за аналогичный период 2022 года.

Компания crimeware-a-service изменила ландшафт кибербезопасности для пользователей криптовалют, увеличив риски и усложнив процедуры защиты. Это «демократизирует» киберпреступность, предоставляя пользователям, не обладающим техническими знаниями, доступ к сложным хакерским инструментам. Это увеличивает частоту и масштаб атак, делая традиционные меры безопасности неэффективными.

Совместные усилия позволяют злоумышленникам более эффективно выявлять конкретные недостатки в крипто-продуктах или сервисах. Например, взломщики буфера обмена могут перенаправлять адреса кошельков во время транзакций, а целенаправленные фишинговые атаки могут заставить пользователей раскрыть секретные ключи.

Поскольку эти атаки становятся все более сложными, пользователи платформы и криптовалют должны внедрять расширенные меры безопасности, такие как многофакторная аутентификация, постоянный мониторинг потенциальных уязвимостей и использование аппаратных кошельков. В связи с этим важное значение приобретает проактивная защита, поскольку скорость и эффективность таких атак практически не оставляют шансов на ошибку в сфере криптовалют.

По мере развития этих угроз проактивная защита на базе искусственного интеллекта будет приобретать все большее значение. Системы искусственного интеллекта могут изучать поведение пользователей, обнаруживать аномалии и предвидеть потенциальные взломы до того, как они произойдут. Кроме того, алгоритмы машинного обучения помогают обнаруживать попытки фишинга, отслеживать активность транзакций и выявлять подозрительное поведение, обеспечивая пользователям криптовалюты улучшенную защиту от развивающихся угроз в режиме реального времени.

Сообщение о киберпреступлении, связанном с криптовалютой, имеет решающее значение для предотвращения дальнейшего ущерба и защиты сообщества. В большинстве стран есть отделы по расследованию киберпреступлений. Составьте свой отчет как можно более полным и точным.

Прежде чем сообщать о происшествии в соответствующие органы, соберите все доказательства, связанные с преступлением, включая идентификаторы транзакций, адреса кошельков, скриншоты переписки и фишинговые электронные письма. Эти данные помогут следователям отследить мошеннические действия. 

Обратитесь в местный орган по борьбе с киберпреступностью, чтобы подать жалобу. В разных странах различные органы расследуют киберпреступления:

• В США Центр рассмотрения жалоб на интернет-преступления (IC3) при Федеральном бюро расследований (ФБР) принимает жалобы от жертв или третьих лиц. 
• В Великобритании киберпреступность расследует Национальное агентство по борьбе с преступностью (NCA).
• В Японии случаи киберпреступности расследуют несколько организаций, таких как Национальное полицейское управление и Японская организация по борьбе с мошенничеством (JAFO). 
• В Сингапуре Департамент уголовных расследований полиции Сингапура (CID) является основным органом, который расследует киберпреступления.
• Отдел Интерпола по борьбе с киберпреступлениями координирует свои действия с различными следственными органами по всему миру. 

Вам также необходимо уведомить соответствующую крипто-платформу. Такие платформы, как Binance и Coinbase, предоставляют специализированные методы для сообщения о мошенничестве. Например, на Binance вы можете войти в свою учетную запись, щелкнуть значок службы поддержки Binance и выбрать «Сообщить о мошенничестве».

Своевременные действия повышают вероятность замораживания украденных средств или выявления преступников до того, как они успеют замести следы.

Защита ваших крипто-активов от угроз crimeware-a-service требует активного подхода с вашей стороны к кибербезопасности:

1. Используйте аппаратные кошельки: защищайте свои крипто-активы с помощью аппаратных кошельков, которые хранят приватные ключи в автономном режиме, защищая их от вредоносных программ и фишинговых атак. 
2. Включите многофакторную аутентификацию: используйте MFA для всех учетных записей, чтобы добавить дополнительный уровень защиты. Это требует, чтобы пользователи предоставляли более одной формы аутентификации для получения доступа к учетной записи.
3. Избегайте перехода по нежелательным ссылкам: будьте бдительны в отношении попыток фишинга, избегая перехода по нежелательным ссылкам. Проверяйте подлинность веб-сайтов и электронных писем, прежде чем вводить конфиденциальную информацию. 
4. Установите надежные пароли: используйте надежные, уникальные пароли для всех учетных записей и рассмотрите возможность использования менеджера паролей для дополнительного удобства и безопасности.
5. Регулярно обновляйте свои устройства: обновляйте их последними обновлениями программного обеспечения и устанавливайте надежные антивирусные программы для обнаружения и блокировки вредоносных программ. 
6. Используйте виртуальную частную сеть (VPN): VPN обеспечивают удаленный и безопасный доступ к определенным ресурсам, создавая зашифрованный тоннель, который защищает внутренние и внешние системы от кибератак.
7. Регулярно создавайте резервные копии важных данных: на случай, если хакерам удастся проникнуть внутрь и заблокировать доступ к конфиденциальной информации, вы можете воспользоваться своей резервной копией и обеспечить продолжение работы в обычном режиме.

Очень важно регулярно отслеживать ваши крипто-транзакции и активность учетной записи на предмет несанкционированных изменений. Будьте в курсе новых тактик, связанных с использованием crimeware-a-a-service. Это значительно снизит риск того, что вы станете жертвой CaaS-атак.