Чтобы зарабатывать в этой сфере, необходимо создавать собственное вредоносное ПО и обладать массой способностей, включая распознавание уязвимостей смарт-контрактов. CaaS свел процесс к простой арендной программе: злоумышленники могут просто взять необходимые программы и заказать кибератаку на основе получения дохода.
- Формат предоставления услуг в индустрии программного обеспечения, характеризующийся форматом Software-as-a-Service (SaaS), существующим уже более 10 лет, также используется при организации атак. Адаптированный для преступной деятельности, CaaS позволяет заниматься хакерством, не требуя специальных знаний. Кроме того, киберпреступники обсуждают свои методы атак на интернет-форумах. Так формируются сообщества: опытные коллеги одобряют новичков, а также предоставляют им инструменты и услуги за плату, которая часто принимает форму процента от кражи.
Операции, направленные на разработку и приобретение вредоносного ПО, обычно проводятся в даркнете, где пользователи могут сохранять определенную степень анонимности. Несмотря на легитимность сети Tor и браузера, они запрещены во многих странах.
Как члены команды CaaS добиваются этого?
С помощью модели CaaS хакеры могут использовать фишинговые инструменты, программы-вымогатели и шпионское ПО для одновременного заражения тысяч пользователей. Теперь мы имеем дело с полностью развитой подпольной экономикой, посвященной киберпреступности. Расходы на проведение атак значительно снизились, а рынок этих услуг увеличился, что, в свою очередь, затруднило выполнение правоохранительными органами своей работы.
В отчете Европола о кибератаках описывается рост киберпреступности как услуги: вершиной этого преступления является сложная система, которая имеет собственную экосистему и многоуровневую иерархию участников. В качестве примера упоминается популярное ПО-вымогательство (RaaS).
- "партнерские программы стали самой популярной формой модели RaaS из-за их меньшей сложности и повышенной масштабируемости. Эта бизнес-модель основана на создании платформы, которая позволяет партнерам использовать ее для распространения программ-вымогателей, распространения украденной информации и сокрытия преступных доходов. Администраторы платформы (коллектив программ-вымогателей) получают часть от каждого платежа, сделанного жертвами через их платформу", говорится в отчете.
Схема обычно состоит из: жертвы платят свою криптовалюту через кошелек, который получает деньги, затем они обычно переводятся в миксер, такой как Tornado Cash, и распределяются между преступниками, партнером, который осуществляет атаку, и поставщиками услуг. Процент прибыли, который делится с партнером, зависит от его статуса. Первоначально это примерно 20-40% от платежа, на более высоких уровнях он может достигать 80%.
- Самая большая группа киберпреступников, имеющих опыт в различных областях и долгую историю сотрудничества. Обычно они участвуют в обсуждениях на форумах и в чатах на частной почве. Ядро коллектива составляют менеджеры среднего возраста и разработчики бэкэнда, которые участвуют в операциях, управляют ресурсами и разрабатывают платформу.
- второй уровень состоит из внешних экспертов, которые принимают участие в различных начинаниях. Эти лица могут включать разработчиков, хакеров, специалистов по обратной инженерии, системных администраторов, переговорщиков, рекрутеров и юридических консультантов.
- третий уровень состоит из поставщиков услуг и партнеров, которые реализуют атаки. К ним относятся разработчики криптовалют, дропперы и специалисты по отмыванию денег. Преступники могут принуждать жертв подписываться на вредоносное ПО или делиться важной информацией, например, касающейся доступа к криптовалюте.
- Среди продуктов CaaS, доступных в даркнете, многие связаны с криптовалютой:
- украденные активы, взломанные базы данных учетных записей;
- вредоносное ПО — программы, которые крадут личные ключи, а также данные о криптовалютных кошельках;
- DDoS-атаки на криптовалютные платформы или другие цифровые системы. Клиенты диктуют масштаб и продолжительность атаки, в то время как преступники используют автоматизированные или другие методы, чтобы подавить инфраструктуру жертвы.
- услуги по отмыванию денег. Помощь в покупке неотслеживаемой валюты или фиатных денег за вашу криптовалюту.
- фишинговые наборы. Наборы, которые облегчают создание поддельных веб-сайтов, которые копируют или защищают способы оплаты с целью кражи личной информации.
- Комбинированный фишинг — удовольствие мира цифровой валюты.
В годовом отчете CertiK за 2024 год описывается кража более 1 миллиарда долларов в результате 296 фишинговых инцидентов.
Все стало еще хуже с внедрением модели CaaS. Зачем тратить месяцы на попытки найти недостатки в системе безопасности организации, если можно просто использовать готовую фишинговую стратегию? Кроме того, эта модель способствовала проведению кампаний, которые были сокращены, что снизило стоимость рабочей силы.
Также присутствуют другие типы утечек, которые «выкачивают» криптовалюту в обмен на наличные. Например, вредоносные смарт-контракты имеют скрытые процедуры, которые приводят к неправомерным переводам. Другие лица используют триггеры, основанные на NFT или других криптовалютных токенах, для создания активов, которые кажутся законными, но которые на самом деле неавторизованные.
Криптокрафтеры часто изображаются как часть системы DaaS, которая включает программное обеспечение и помощь для киберпреступников в обмен на процент от украденных средств. Современные услуги обычно предоставляются:
- Комплексные протоколы истощения криптовалюты;
- Индивидуальные смарт-контракты, персонализированные для каждого клиента;
- Инструменты фишинга и услуги социальной инженерии;
- Премиальные услуги безопасности, которые являются анонимными, или услуги анонимности;
- Помощь в объединении и интеграции;
В июле были анонимизированы участники платформы для криптофишинга Angel Drainer, которая, как ожидается, появится примерно в августе 2023 года. Платформа предоставляла инструменты для получения криптовалюты с прибылью 20% и первым депозитом от $5000 до $10 000. Наибольший успех платформа имела в Telegram. В целом у 35 000 пользователей дрейнера было украдено более $25 млн. В частности, с ней связывают инциденты с Ledger Connect Kit и EigenLayer.
Выпуск новой версии программного обеспечения Angel Drainer DaaS в 2023 году в Telegram. Данные: Sentinel One.
Возможно, внедрение DaaS привело к изменению направления атак на пользователей Telegram. Количество зарегистрированных случаев вредоносного ПО, нацеленного на криптоэнтузиастов в сообщении, было больше, чем типичное количество фишинга. С ноября 2024 года по январь 2025 года частота этих атак увеличилась на 200%. Чтобы убедить жертв, злоумышленники используют поддельных ботов для аутентификации, приглашают их на эксклюзивные каналы для покупки или продажи или для доставки своих товаров. При передаче поддельного чека вредоносный код внедряется в буфер обмена, что приводит к внедрению вредоносного ПО и получению паролей, кошельков и информации о браузере.