A kiberbűnözés piactere a dark web. Összegyűjtöttük mit és mennyiért lehet megvenni az internet sötét oldalán.
2019.03.19
A kiberbűnözés 3 billió (milliószor millió) dolláros kiadást jelentett világszerte 2015-ben, és az előrejelzések szerint ez az összeg 2021-re 6 billióra emelkedik.
A kiadások alatt az incidensek utáni összes költséget értjük. Például egy zsarolóvírus esetében nem csak a váltságdíj kifizetése számít, hanem az incidens miatti termelékenységcsökkenés, számítógépek mentesítése, újratelepítése, a biztonsági szabályozás javítása, a szükséges technológiai védelmi beruházások és a vállalat hírnevét ért járulékos károk is. Azonban a kiberbűnözőknek is vannak költségeik, még ha ezek nem is mérhetők a vállalatokat ért károkhoz. Az ESET szakemberei összegyűjtötték, hogy milyen szolgáltatások érhetők el a dark weben, és ezek mekkora kiadást jelentenek a kiberbűnözők számára.
A számítógépes bűnözés, mint szolgáltatás már régóta jelen van, az ESET kutatói is jól ismerik a jelenséget. A bűnözők pénzért kínálják termékeiket, szolgáltatásaikat vagy infrastruktúrájukat a feketepiacon. De mi kapható pontosan a dark weben, és mennyibe kerülnek ezek az eszközök és szolgáltatások?
Zsarolóvírus, mint szolgáltatás
A zsarolóvírusok széles skálája érhető el a dark weben. Ahogy a legális szoftverek esetében, itt is vannak rendszeres frissítések, technikai támogatás, valamint távoli vezérlő szerverekhez (C&C) való hozzáférés és számos fizetési lehetőség.
![Darkweb Ransomware hirdetés Darkweb Ransomware](/fileadmin/_processed_/6/4/csm_1_e4f48f3447.jpg)
A Ranion oldalain megvehető egyik zsarolóvírus például havi vagy éves előfizetéssel is elérhető. Számos lehetőség áll a bűnözők rendelkezésre, sajnos egyre alacsonyabb árakon: a legolcsóbb egy hónapos csomag például alig 120 dollár (körülbelül 33 ezer forint), míg a legdrágább sem kerül többe 900 dollárnál (cirka 252 ezer HUF) egy teljes évre. Ezek az árak a külön megvásárolt szolgáltatások fényében akár 1 900 dollárig is felmehetnek.
![Ransomware választható csomag Ransomware vírus választható csomag](/fileadmin/_processed_/c/6/csm_2_567234b55f.jpg)
Egy másik fizetési modellben a vásárlók magát a kártevőt és a C&C infrastruktúrát ingyen kapják, és a beérkező váltságdíjakból kér részesedést az eladó.
Bármelyik megoldást választják, a bűnözőknek a vírusok terjesztésével is foglalkozniuk kell. El kell juttatniuk a zsarolóvírust az áldozatokhoz, általában kéretlen levelek segítségével vagy sérülékeny szervereken, RDP-n keresztül.
Szerverhozzáférések
Számos olyan szolgáltatás áll rendelkezésre a dark weben, amely hitelesítő adatokat árusít a világ különböző részein lévő szerverekhez, távoli asztali protokoll (RDP) segítségével. Az árak 8-15 dollár között mozognak szerverenként és országonként. Az érdeklődők kereshetnek operációs rendszer szerint, illetve az alapján is, hogy melyik fizetési oldal felhasználóinak van hozzáférése az adott szerverhez.
![Darkweb-szerverhozzáférés Darkweb-szerver](/fileadmin/_processed_/9/b/csm_3_0e8e200efb.jpg)
A fenti képen a Kolumbiában található kiszolgálók találhatók, ahol 250 szerver áll rendelkezésre. Minden szerverhez különféle adatokat adnak meg, amelyek az alábbi képen láthatók.
![Darkweb-server2 Darkweb-szerver 2](/fileadmin/_processed_/f/4/csm_4_28adbfa19a.png)
A potom összegű hozzáférés megvásárlása után a kiberbűnözők zsarolóvírus futtatására vagy esetleg más, diszkrétebb kártevők, például banki trójai vagy kémprogramok telepítésére használhatják ezeket.
Infrastruktúra bérlés
Egyes kiberbűnözők, akik botneteket, vagy feltört számítógépek hálózatait hozták létre, bérbe adják a spamek, vagy a DDoS támadások végrehajtásához szükséges számítási teljesítményt.
A szolgáltatásmegtagadási támadások esetén az ár attól függ, hogy a támadás mennyi ideig tart (1-24 óra), és mennyi forgalmat képes a botnet ezen idő alatt generálni. Az alábbi kép egy 60 dolláros példát mutat három órán keresztül.
![Darkweb-botnet Darkweb-botnet attack](/fileadmin/_processed_/d/8/csm_5_fdd0768b81.png)
Jól látható, hogy a fiatalok sokszor kínálják bérlésre a (kis) botnet hálózatukat, főként a Fortnite-hoz hasonló online játékok által használt szerverek támadására. A közösségi médiában népszerűsítik magukat illetve termékeiket, és nem igazán törődnek vele, hogy eközben névtelenek maradjanak.
![Darkweb-instagram Darkweb-instagram hirdetés](/fileadmin/_processed_/0/c/csm_6_37545efd7c.png)
PayPal és hitelkártya fiókok
A sikeres adathalász támadásokat futtató bűnözők általában nem kockáztatnak az ellopott fiókok használatával. Számukra már az is nyereséges (és biztonságosabb), ha a számlákat más bűnözőknek értékesítik. Ezek ára általában az ellopott számlán található hitelkeret 10%-a, ahogy a való életben az orgazda is a lopott, rabolt javakért cserébe csak keveset hajlandó fizetni a várható kockázatok miatt.
![Darkweb referencia Darkweb referenciák és hamis oldalak](/fileadmin/_processed_/9/c/csm_7_4be886e470.png)
Néhány eladó boldogan mutatja be referenciaként eszközeit és a hamis oldalakat, amelyeket adathalászatra használnak.
![Darkweb hamis referencia oldal Darkweb hamis adathalász oldalak](/fileadmin/_processed_/b/2/csm_8_61851aa3bb.png)
Láthatjuk tehát, hogy a (nem is annyira) rejtőzködő kiberbűnözők nyereséges iparágat hoztak létre, amely a marketingtől kezdve az ügyfélszolgálatokon át, a frissítésekig és a felhasználói kézikönyvekig minden hagyományos üzleti ágat magában foglal. Érdemes azonban megjegyezni, hogy bár ezeken a felületeken sok vevő akad, az igazi nyereséget azonban a kiterjedt infrastruktúrával és a jól működő szolgáltatásokkal rendelkező „nagy halak” realizálják.
Ahogy az ESET egyik tavalyi előadásában is elhangzott: „A kártevőkhöz kapcsolódó iparág már nem egy új, innovatív trend, hanem inkább a szoftvergyártókhoz hasonlít.” Ez azt jelenti, hogy a kiberbűnözők által kínált szoftverek, termékek és szolgáltatások leginkább az értékesítés, a marketing és a terjesztés révén válnak nyereségessé.
Ez a trend is jól mutatja, hogy az ellopott adatok hogyan hasznosulnak a bűnözők világában, és láthatjuk, egy ilyen incidens miatt mindenkit érhet valamilyen kár, függetlenül attól, hogy ő maga jelentős vagy érdekes személynek tartja-e magát. Pénzügyi adatok, egészségügyi társadalombiztosítási információinkkal a csalók jelentős károkat okozhatnak nekünk, de családi, munkahelyi adataink ellopásával is megzsarolhatnak bennünket, illetve ezeket az információkat egy későbbi testre szabott célzott támadásban is felhasználhatják ellenünk. Emiatt a kibervédelem közös ügyünk, érdemes rá gondot fordítani.