卡巴斯基数字足迹情报团队发布的一项新研究显示,勒索软件是过去七年中最普遍的恶意软件即服务(MaaS)。这项研究基于对97个散布在暗网和其他资源的恶意软件家族进行的研究。此外,研究人员发现网络罪犯租用信息窃取器、僵尸网络、加载器以及后门程序来实施攻击。
恶意软件即服务(MaaS)是一种非法商业模式,涉及租赁软件进行网络攻击。通常情况下,此类服务的客户会获得一个个人账户,通过该账户,他们可以控制攻击,并获得技术支持。这种服务降低了潜在的网络罪犯所需的初始专业知识的门槛。
勒索软件成为最受欢迎的恶意软件即服务
卡巴斯基的专家研究了各种恶意软件家族的销售量,以及暗网和其他资源中关于MaaS的提及、讨论、帖子和搜索广告,以确定最流行的类型。位列首位的原来是勒索软件,即加密数据并要求支付解密费用的恶意软件。在2015年至2022年期间,它占MaaS模式下分布的所有恶意软件家族的58%。勒索软件的流行是因为它能够在比其他类型的恶意软件更短的时间内产生更高的利润。
网络罪犯可以免费“订阅”勒索软件即服务(RaaS)。一旦他们成为该计划的合作伙伴,他们就会在攻击发生后支付服务费用。支付金额由受害人支付的赎金的百分比决定,通常为每笔交易的10%至40%。然而,进入该计划并不是一项简单的任务,因为它需要满足严格的要求。
恶意软件家族分布,2015年-2022年,以每种类型中最受欢迎的恶意软件家族为例[1],信息来源:卡巴斯基数字足迹情报
在分析期内,信息窃取者作为服务分发的恶意软件家族的24%。这些恶意程序旨在窃取数据,如凭证、密码、银行卡和账户、浏览器历史记录、加密钱包数据等。
信息窃取者服务通过订阅模式付费。它们的价格在每月100到300美元之间。例如,2023年2月初停止服务的Raccoon Stealer可以以每月275美元或每周150美元的价格购买。根据其运营者在暗网上发布的信息,其竞争对手Redline的月费为150美元,还可以选择以900美元的价格购买终身许可证。攻击者还利用额外的服务获得额外的报酬。
作为服务出售的恶意软件家族中有18%被证明是僵尸网络、加载器和后门程序。这些威胁被合并为一组,因为它们通常有一个共同的目标:在受害者的设备上上传和运行其他恶意软件。“例如,加载器Matanbuchus的价格往往随着时间的推移而变化。今年6月的价格从每月4900美元起。这种类型的恶意软件比Infostealers更昂贵,因为其恶意代码本身更为复杂,运营商提供所有基础设施,这意味着合作伙伴在使用 Matanbuchus 时不必为防弹托管服务支付额外费用。值得注意的是,Matanbuchus的订阅用户数量非常有限,这使得攻击者可以在更长的时间内不被发现,”卡巴斯基数字足迹分析师Alexander Zabrovsky说。
MaaS的组成部分和恶意攻击者的等级制度
运营MaaS平台的网络罪犯通常被称为运营商,而购买这些服务的人则被称为加盟合作者。与运营商达成协议后,加盟合作者可以访问 MaaS 的所有必要组件,例如命令和控制 (C2) 面板、构建器(用于快速创建独特恶意软件样本的程序)、恶意软件和界面升级、支持、指南和托管。面板是一个基本组件,允许攻击者控制和协调受感染机器的活动。例如,网络罪犯能够泄露数据、与受害者协商、联系支持人员、创建独特的恶意软件样本等等。
某些类型的 MaaS,例如信息窃取者,允许加盟合作者创建自己的团队。这种团队的成员被称为traffer——这是一种分发恶意软件以增加利润并从加盟合作者那里获得利息、奖金和其他付款的网络罪犯。Traffer无法使用 C2 面板或其他工具。他们的唯一目的是扩大恶意软件的传播。大多数情况下,他们会通过将样本伪装成破解程序,或者将其伪装成破解合法程序的指南,并将其放到YouTube或其他网站上。
Traffer用来传播信息窃取者的视频示例
“网络罪犯在互联网的阴暗角落积极交易非法商品和服务,包括恶意软件和被盗数据。通过了解这个市场的结构,企业可以深入了解潜在攻击者的方法和动机。利用这些信息,我们能够更好地帮助企业制定有效的策略,通过识别和监测网络犯罪活动,跟踪信息流,并及时了解新出现的威胁和趋势,来防止网络攻击,” Alexander Zabrovsky补充说。
要了解更多有关恶意软件即服务的详情,请访问Securelist. 为了保护您的组织免受相关威胁,卡巴斯基专家建议:
始终保持您使用的所有设备上的软件更新,以防止攻击者利用漏洞入侵您的网络。尽快安装新漏洞的补丁。一旦安装更新和补丁,威胁行为者就无法再滥用该漏洞。使用最新的威胁情报信息来了解威胁行为者使用的真正TTP(战术、技术和流程)。使用卡巴斯基数字足迹情报,帮助安全分析师探索对手对其公司资源的看法,及时发现他们可用的潜在攻击媒介。如果您遇到事件,卡巴斯基事件响应服务将帮助您做出响应并最大程度地减少后果,特别是他们可以识别受感染的节点并保护基础设施免受将来的类似攻击。
[1]物联网僵尸网络不包括在内,因为它们不是在MaaS模式下分发的,而是DDoS即服务模式,该模式不属于MaaS。