Trend Micro изучил деловую инфраструктуру киберпреступности

Компания Trend Micro Incorporated опубликовала новые аналитические данные о рынке нелегального хостинга и подробно рассказала о том, как и где киберпреступники арендуют инфраструктуру, необходимую для ведения их бизнеса. Это первый отчёт из запланированных трёх, и в нём подробно описывается рынок покупки и продажи услуг, которые стали основой всех аспектов бизнес-модели киберпреступности, будь то рассылка спама, обмен данными с командным сервером или же поддержка работы программ-вымогателей.

В течение последних пяти лет рост объёма использования скомпрометированных активов и числа случаев злоупотребления ими сформировал совершенно новый рынок. Существуют различные типы нелегального хостинга и связанных с ним услуг, которые используются киберпреступниками для осуществления своей деятельности, включая «пуленепробиваемый» (bulletproof) хостинг, виртуальные частные сети (VPN), анонимайзеры и защиту от DDoS-атак. Такие услуги могут использоваться разными способами для поддержания доступности и анонимности, препятствования следственным действиям, сокрытия физического местоположения, подделки IP-адресов и прочего.

«Более десяти лет Trend Micro Research не фокусируется исключительно на действиях киберпреступников, но и изучает их способы мышления. Это крайне важно, чтобы найти способ защиты от них, — говорит Роберт Макардл (Robert McArdle), директор перспективного исследования угроз в Trend Micro. — Сегодня мы публикуем первую из трёх частей углублённого исследования о том, как преступники закрывают свои потребности в инфраструктуре, а также о рынках, где всё это можно приобрести. Мы надеемся, что после того, как правоохранительные органы и другие заинтересованные стороны получат доступ к этой информации, наши коллективные усилия по обеспечению безопасности в цифровом мире позволят сделать шаг вперёд на пути у спеху».

Киберпреступность — это высокопрофессиональная индустрия, в которой продажи и реклама основаны на легальных технологиях и платформах. Например, было найдено объявление о продаже скомпрометированных выделенных серверов в США по цене всего от 3 до 6 долларов при гарантированной доступности в течение 12 часов. Хотя многие из этих услуг продаются на подпольных форумах, попасть на которые часто можно только по приглашению, другие открыто рекламируются и продаются через обычные социальные сети и платформы обмена сообщениями, такие как Twitter, VK и Telegram.

В действительности грань между преступностью и легитимным бизнес-поведением размывается всё сильнее. Так, некоторые хостинг-провайдеры работают законно с обычными клиентами и открыто рекламируются в интернете, но в то же время часть посредников продают их услуги исключительно криминальному подполью — с ведома компаний или без оного.

В случае предоставления «пуленепробиваемого» хостинга, более явно связанного с киберпреступностью, этим могут заниматься обычные хостинг-провайдеры, которые пытаются диверсифицировать свой бизнес и удовлетворить потребности части клиентов. За премиальную стоимость они готовы буквально пройти по лезвию, сделав абсолютный максимум того, что разрешено законом в их юрисдикции.

Понимание того, где и как эти услуги продаются, в перспективе сможет осложнить деятельность злоумышленников, повысив стоимость используемых ими сервисов, что может стать, пожалуй, лучшей стратегией надёжного пресечения работы подпольного рынка услуг для киберпреступников. Во второй и третьей частях отчёта мы рассмотрим типы предлагаемых нелегальных услуг и инфраструктуры, а также операционную безопасность и мотивы участников, продающих такие услуги.