Откуда приходит вирус
В отличие от вируса биологического, компьютерный вирус не может сам зародиться в природе. Его производство всегда дело рук человека. Как говорят эксперты в области кибербезопасности, цена качественного вируса начинается от 500 тыс. руб., а ущерб, который он может нанести, оценивается в сотни раз дороже.
Разработка – это группа
Классическая картинка из фильма, когда в темной комнате сидит человек в черном капюшоне и пишет вирус, а потом его «запускает», ‒ всего лишь картинка. Простенькие трояны могут писать студенты и даже школьники, тогда как серьезные «вредоносы» давно уже собираются из разных кусков кода, как из конструктора Lego. Причем отдельные «кусочки» могут стоить целое состояние. «Запускают» вирусы в сеть в большинстве случаев вовсе не те, кто их разрабатывал.
Попробуем разобраться, как устроен мир разработчиков вредоносного программного обеспечения (ВПО) и каковы их доходы.
По словам директора по продуктам компании «Гарда Технологии» Павла Кузнецова, сегодня группировки, которые занимаются ВПО, разрослись до уровня компаний, работающих в сфере кибербезопасности на «светлой стороне». «Практически в любой группе злоумышленников сейчас есть специалисты по реверс-инжинирингу, выполняющие как поиск уязвимостей в ПО для дальнейшего злонамеренного использования, так и исследования инструментария иных группировок для применения в собственных целях», ‒ считает эксперт. В «Информзащите» добавили, что в каждой подобной группировке есть разработчики эксплоитов, то есть «упаковки» самого вредоноса, чтобы скрыть его от средств защиты. По словам руководителя направления аналитики киберугроз компании «Ростелеком-Солар» Дарьи Кошкиной, последнее время хакеры все чаще прибегают к аутсорсингу – делают внешние заказы на разработку ПО, способного выполнять какие-либо задачи, при этом исполнители таких заказов могут даже не знать, что их разработка будет использоваться в качестве вредоноса. Разработчиком ВПО может быть также фрилансер-одиночка, который ищет работу на теневых форумах, добавляет руководитель управления киберразведки BI.ZONE Олег Скулкин.
Вознаграждение специалистов, работающих на преступные группировки, сопоставимы с доходами сотрудников реальных IT-компаний. По данным Kaspersky Digital Footprint Intelligence, медианная зарплата в даркнете по вакансиям ИТ-администраторов составляет 1500$, программистов ‒ 2000$, а специалистов по проведению атак ‒ 2500$. Наем сотрудников может происходить не только в закрытых каналах, но и через официальные ресурсы.
При этом эксперт группы анализа внешних цифровых угроз «Инфосистемы Джет» Дмитрий Богачев поясняет, что разработчики-одиночки в даркнете могут работать по разным бизнес-моделям: проектам «под ключ», фиксированной оплате в день, работе за процент от продаж, оплате по подписке на продукт.
Как продаются вредоносы
Аналитик Kaspersky Digital Footprint Intelligence Александр Забровский поясняет, что большинство известнейших семейств вредоносных программ распространяются по модели Malware-as-a-Service (MaaS) – партнёрской программы, когда злоумышленники, предоставляющие доступ к ВПО, именуются операторами, а клиент, пользующийся услугой, – партнёром. В 2021‒2022 годах Group-IB обнаружила 20 новых публичных партнерских программ. В 2022 году самыми активными группами были Lockbit, Conti и Hive, отметили там.
В то же время некоторые группировки просто продают вредоносное ПО прямо на форумах в теневом интернете. Часто опытные хакеры продают ВПО после атаки менее квалифицированным злоумышленникам для проведения массовых атак, говорит Дарья Кошкина.
Вредоносное ПО может быть и штучным товаром и писаться под заказ. В Positive Technologies отметили, что причиной выбора индивидуальной разработки может являться, например, желание заказчика иметь определенный функционал. Кроме того, покупка готового ВПО подразумевает использование его несколькими пользователями, что повышает шанс его выявить.
Цена вредоносного ПО зависит не только от разработки, но и от других дополнительных факторов, отмечают эксперты. По словам Дмитрия Богачева, важна не только сама разработка, но и поддержка продукта на протяжении всего цикла его жизни.
Дарья Кошкина поясняет, что троян может стоить порядка 500 тыс. руб., но если речь про какой-либо уникальный софт, то здесь цены возрастают как минимум в 4 раза. Цены могут быть очень разными, от пары тысяч до миллионов долларов, добавляет Олег Скулкин. Например, организаторы партнерских программ, которые предлагают программы-вымогатели в аренду, берут процент от полученного атакующими выкупа, как правило, от 10 % до 40 %. Сравнительно простое вредоносное ПО, например Stealer, может стоить от 100 долларов в месяц, уточняет он.
Стоимость разработки под заказ может быть в десятки раз выше стоимости готового, указывают в Positive Technologies. К примеру, стоимость популярного стиллера Redline составляет 900$, а разработка аналогичного ПО под конкретные задачи обойдется от 6 000$.
Наиболее распространенные типы вредоносного ПО:
• ПО типа Stealer (стиллер) направлено на кражу персональных данных пользователей.
• ПО типа Ransomware (шифровальщик) направлено на блокировку доступа к компьютерной системе и требует от пользователя выкуп за восстановление данных.
• ПО типа RAT (Remote administration Tools или инструмент для удаленного доступа) направлено на получение удаленного доступа у зараженных компьютерных систем.
• ПО Botnet (ботнет) ‒ сеть компьютеров, зараженная вредоносным программным обеспечением.
• Antidetect browser ‒ браузер, который направлен на обход антифрод-систем.
По словам Олега Скулкина, среди наиболее заметных вредоносных программ последних лет можно выделить целый ряд стиллеров (Racoon и Redline). Также нельзя не отметить программы-вымогатели: REvil, LockBit, BlackCat. Их можно было арендовать на теневых форумах, вступив в соответствующую партнерскую программу, а величина выкупа, который просили операторы, достигала нескольких десятков миллионов долларов, отмечает он.
Самыми заметными «вредоносами» в 2022 году стали шифровальщики (ransomware). Их использование ‒ высокомаржинальный бизнес: в 2021 – 2022 годах размеры выкупов стали исчисляться десятками миллионов долларов. Так, в июле 2021 года преступная группа Hive атаковала немецкую сеть магазинов электроники и бытовой техники Media Markt и потребовала выкуп в $240 млн».
Разработчиками ПО может выступать и «киберпионерия» – студенты и школьники. По словам Дмитрия Богачева, в данный момент на рынке разработки ВПО присутствует достаточно большое количество начинающих разработчиков, которые готовы работать за символические суммы.
Начинающие вирусописатели чаще всего вдохновляются уже разработанным ВПО. По словам Павла Кузнецова, те же трояны не требуют суперквалификации разработчика, их нередко пишет молодежь. При этом уровень информатизации всех сфер жизни общества вполне позволяет злоумышленникам находить цели, недостаточно защищённые даже от этого «базового» класса ВПО, и при этом довольно выгодные.