18/11/21
Преимущественно скрытая в личной переписке, экономика эксплоитов на киберпреступных форумах иногда все же просачивается во внешний мир, проливая свет на толщину кошелька киберпреступников. Некоторые группировки даже заявляют, что в их распоряжении есть многомиллионные суммы, которые они готовы выложить за уязвимости нулевого дня. Тем не менее, и у хакеров с более скромным бюджетом может появиться возможность пользоваться такими уязвимостями, если концепция «эксплоит как услуга» (exploit-as-a-service) станет реальностью.
Очень часто потенциальные покупатели готовы платить за уязвимости, как новые, так и старые, баснословные суммы. К примеру, в начале мая 2021 года один из пользователей киберпреступного форума объявил, что готов заплатить $25 тыс. за PoC-эксплоит для критической уязвимости в Pulse Secure VPN ( CVE-2021-22893 ). Еще один покупатель предложил до $3 млн за уязвимости удаленного выполнения кода в Windows 10 и Linux, эксплуатация которых не требует никаких действий со стороны жертвы (так называемый zero-click).
Этот же пользователь также предложил до $150 тыс. за оригинальное решение, которое позволило бы вредоносному ПО запускаться после каждой перезагрузки Windows 10.
Для сравнения, занимающаяся перепродажей эксплоитов компания Zerodium предлагает за уязвимость zero-click в Windows 10 до $1 млн. Наибольшая сумма, которую она готова заплатить, составляет $2,5 млн за полную цепочку уязвимостей zero-click в Android. За такую же цепочку для iOS компания согласна отдать $2 млн.
Покупатели эксплоитов на черном рынке попали в поле зрения исследователей ИБ-компании Digital Shadows, которые решили подробнее изучить данный вопрос. В ходе исследования им встречались покупатели, готовые купить уязвимости нулевого дня по цене в $10 млн. Более того, такие деньги теперь предлагают не только финансируемые государствами хакеры, но и работающие на себя киберпреступники, жаждущие наживы, в том числе операторы вымогательского ПО.
Как бы то ни было, заключение столь крупной сделки может занять слишком много времени, и за этот период другие разработчики могут предложить свои эксплоиты, что в итоге приведет к снижению цены. Поэтому киберпреступники начали обсуждать концепцию «эксплоит как услуга». Суть ее заключается в том, чтобы разработчики эксплоитов могли сдавать свои инструменты в аренду сразу нескольким партнерам. Такое решение позволило бы им получать хорошую прибыль, пока не появится достойный покупатель. В свою очередь, потенциальные покупатели получат возможность протестировать инструмент и решить, покупать его или нет.
Как и в случае с бизнес-моделью «вредоносное ПО как услуга» (malware-as-as-service), новый сервис позволит менее опытным хакерам осуществлять более сложные атаки.
