Комплексные аутсорс-услуги активно развиваются последние десятилетия. На этот раз очередь дошла до такого криминального сегмента, как криптовымогательство. Около 25 хакерских группировок по всему миру работают по модели «Ransomware-as-a-service» (RaaS), сообщает в своем блоге исследовательская группа Intel471. В отличие от прямого вымогательства, хакерские группы работают под некоторый процент от полученного выкупа, всю же остальную часть получает заказчик.

Такое число группировок, предлагающих вымогательство как аутсорс-услугу, значительно превышает предыдущие прогнозы экспертов в области информационной безопасности. Ранее считалось, что подобной деятельностью занимается намного меньшее количество «бандформирований» или вовсе хакеры-одиночки.

В основе упомянутой бизнес-модели RaaS лежит аренда вредоносного кода клиентом. Хакеры готовят выбранные клиентом исходники к атаке, дописывают код и, собственно, сами атакуют жертву по данной им наводке. Получение выкупа происходит непосредственно на счета группировки. После перечисления средств хакеры оставляют себе «процент за услугу», а остальное переводят заказчику атаки. Это любопытная модель, так как очевидно, что заказ атаки также стоит денег клиенту-вымогателю. Таким образом хакерские группировки как минимум покрывают свои издержки на подготовку кода-вредоноса и саму атаку.

Все RaaS-группировки можно разделить на три уровня. На первом — самые успешные, на третьем, соответственно — новички.

В первой группе находятся уже давно известные и исследованные операторы вымогателей, которые, однако, продолжают успешно работать. В их числе — REvil, Netwalker, DopplePaymer, Egregor (Maze) и Ryuk. Из этого списка малоизвестны только последние, но они уже провели достаточное число успешных атак, чтобы записать их в «высшую лигу». Все эти вымогатели имеют собственную инфраструктуру слива зашифрованных данных в случае отказа платить выкуп и уже давно терроризируют организации.

На втором уровне хакерского топа группировок находятся менее известные, но уже заработавшие себе имя вымогатели. Например, группировки Avaddon, Pysa/Mespinoza, Thanos или SunCrypt. В общей сложности Tier-2 насчитывает девять групп хакеров.

На третьем уровне расположились незначительные и малоизвестные хакерские группы. По некоторым даже достоверно неизвестно, были ли проведены успешные атаки и работают ли они сейчас вообще.

Сама концепция RaaS — тревожный сигнал для индустрии. Если раньше подобной деятельностью занимались сами группировки, используя свои же наработки, то теперь речь идет о широком доступе к ресурсам криптошифровальщиков.

Наихудший сценарий развития событий — атаки на предприятия, имеющие внутреннюю природу возникновения. Возможность нанять группировку «за процент» для атаки на инфраструктуру любой компании открывает огромные перспективы для профессиональной мести со стороны бывших сотрудников, либо же для конкурентов, которые хотят парализовать бизнес своего соперника. Если этот сегмент теневой деятельности продолжит развиваться, то в будущем мы можем столкнуться с целой эпидемией точечных атак на предприятия любой направленности и формы собственности по всему миру.