Достъпът до мрежи от компрометирани компютри се продава като услуга

Достъпът до мрежи от компрометирани компютри се продава като услуга с разнородни варианти и разновидности (снимка: CC0 Public Domain)

ИТ услугите, при които се заплаща съгласно потреблението, от дълго време са известни в бизнеса, само че същото може да се каже и за подземния свят. Услугите за инсталиране на злотворен код са успешен бизнес: киберпрестъпниците, които имат способността да изградят мрежа от инфектирани компютри, по-късно продават достъп до тези компютри. Всеки може да го направи самичък или да се причисли към незаконна организация, наречена PPI, като „ филиал “.

Хората, които купуват достъп до мрежи от инфектирани компютри, го вършат за разнообразни цели. Най-често това са осъществяване на DDoS интервенции, „ копаене “ на криптовалута или извличане на потребна информация за осъществяването на финансови измами.

Как работи

PPI операторите следят броя на инсталациите, местоположението на инфектираните машини и информацията за спецификациите на компютърния програмен продукт. За да реализират това, те нормално си служат с „ товарач “ по време на заразяването. Това им разрешава цялостно следене, само че също по този начин дава опция за ръководство на „ потребните товари “, които да бъдат ориентирани към инфектираните устройства.

Един от най-известните и употребявани принадлежности се назовава PrivateLoader, оповестява Sekoia. PrivateLoader е един от най-разпространените „ товарачи “, употребявани от киберпрестъпниците през 2022 година Използва се необятно като част от услугата PPI, позволявайки доставянето на голям брой разнообразни фамилии злотворен програмен продукт, ръководени от няколко киберпрестъпници.

По създание съставлява модулен „ зареждащ “ софтуерен инструмент, написан на програмния език C++. Има три разнообразни модула. Основният модул е виновен за прикриването и добиването на ясна информация за параметрите на инфектирания „ хост “; втори модул е виновен за свързване със сървъра за ръководство, с цел да се изтегля и извършва „ потребният товар “; третият модул дава отговор за обезпечаването на непрекъсната работа.
още по темата
Комуникациите сред инфектирания компютър и командния център се замаскират благодарение на елементарни логаритми. Товарачът първо доближава до замаскирани URL адреси, вградени в кода, след което изисква подаването на поръчки към командния сървър. Той на собствен ред дава URL адрес на крайния „ потребен товар “. Крайното местонахождение на потребните товари се е трансформирало през годината, съгласно откривателите на Sekoia.

Изследователите споделят, че досега са намерили четири разнообразни дейни сървъра за ръководство на „ работата “, ръководени от PPI услугата, в разнообразни страни. Заедно с това откривателите са разкрили над 30 неповторими командни сървъра, евентуално затворени, откакто са били открити от доставчиците на сигурност.

Как се разпределят потребните товари

Кампаниите с PrivateLoader популяризират разнообразни типове злотворен програмен продукт. Той може да включва няколко типа „ потребен товар “:

Интересно е да се означи, че някои от тези крадци на информация са едни от най-използваните от така наречен трафери. Изследователите допускат, че въпреки множеството PPI услуги да употребяват лична мрежа за разпространяване на трафик, някои евентуално купуват и услуги за генериране на трафик. Такива се оферират от екипите на траферите.

Цени и бизнес-схеми

Цените, открити през септември 2022 година, варират от 70 щатски $ за „ композиция от съоръжения по целия свят “ до 1000 за съответни съоръжения в тъкмо избран район. Подземните бизнес-групи могат да продават инсталациите на няколко клиента по едно и също време или да търгуват с „ извънреден достъп “ на по-висока цена. При стартирането си услугата е предложила „ до 20 000 съоръжения дневно “, само че, съгласно откривателите, сега не могат да бъдат извадени точни данни за опциите на мрежите.

Как да се защитят организациите?

PPI услугите разчитат на заразяване на голям брой компютри със злотворен програмен продукт. Различните оператори, изпълняващи тези услуги, имат разнообразни способи за постигането на тази цел, само че една от най-използваните техники е разпространяването посредством мрежи от уеб страници, които оферират „ кракове “ за друг атрактивен програмен продукт. Друга скица е директното разпространяване посредством peer-to-peer мрежи. Поради това потребителите би трябвало да са наясно, че незаконните копия на профилиран програмен продукт постоянно носят със себе си „ подарък “ – осъществим файл.

Горещо се предлага операционните системи и всичкият програмен продукт постоянно да са настоящи, с най-новите корекции, с цел да се избегне компрометиране посредством постоянно срещани уязвимости. Многофакторното засвидетелствуване е извънредно потребна техника за сигурен достъп до всички услуги, свързани с интернет. Това прави мъчно за нападателите да се „ намъкнат “ в дадена мрежа и да се показват за легални консуматори.