Дисклеймер
Этот материал опубликован в ознакомительных целях и не является призывом к совершению незаконных действий.
По данным Chainalysis, сумма украденных средств в криптоиндустрии в 2024 году выросла на ~21% — до $2,2 млрд. Наибольшая их доля поступила из DeFi-сервисов.
Команда ForkLog изучила некоторые нелегальные маркетплейсы, чтобы оценить, насколько оказываемые ими услуги доступны и просты в реализации. В новом материале расскажем о Crimeware-as-a-Service (CaaS) — незаконных услугах в сфере кибератак, предоставляющихся по подписке.
Сервисы предлагают облачный доступ к ПО для криптофишинга, шантажа блокировкой компьютера, аренды ботнетов, организации DDoS-атак и многого другого. Мы также напомним читателям основные правила безопасного Web3-серфинга.
Что такое Crimeware-as-a-Service?
Не только «белые шляпы» становятся все более организованными, востребованными и успешными. На противоположной, темной, стороне интернета киберпреступники тоже стараются объединять усилия.
Когда-то черные хакеры действовали в одиночку или небольшими группами, распространяя вирусы по электронной почте. Для заработка в этой сфере нужно было самостоятельно создавать вредоносное ПО и обладать множеством навыков вроде обнаружения уязвимостей в смарт-контрактах. CaaS упростил этот процесс — злоумышленники могут просто арендовать необходимые программы и заказать кибератаку на коммерческой основе.
Формат предоставления услуг в сфере ПО Software-as-a-Service (SaaS), существующий уже более 10 лет, эффективно используется и в организации атак. Адаптированная для незаконной деятельности CaaS предоставляет возможность без специальных знаний осуществлять хакерскую деятельность. Кроме того, киберпреступники обсуждают методы атак на онлайн-форумах. Так формируется сообщество: опытные коллеги поддерживают новичков, а также предоставляют им инструменты и услуги за определенную плату, часто в виде процента от кражи.
Операции, связанные с разработкой и покупкой вредоносного ПО, обычно происходят в даркнете, где пользователи могут сохранять условную анонимность. Несмотря на то, что сеть и браузер Tor могут использоваться законопослушными пользователями для защиты данных, в ряде стран они запрещены.
Как бригады CaaS «обчищают карманы» пользователей
Благодаря модели CaaS мошенники могут одновременно использовать фишинговые комплекты, программы-вымогатели и шпионское ПО, чтобы атаковать тысячи пользователей. Сейчас мы имеем дело с полноценной подпольной экономикой с автоматизированной киберпреступностью. Стоимость совершения атак значительно снизилась, а рынок таких услуг расширился, что в свою очередь усложнило работу правоохранительных органов.
Согласно отчету Европола Cyber-attacks: the apex of crime-as-a-service, киберпреступность приобретает более сложную организационную структуру со своей экосистемой и многоуровневой иерархией участников. В качестве примера приводятся популярные программы-вымогатели (RaaS):
«Партнерские программы утвердились как основной формат модели RaaS благодаря упрощенным процессам и масштабируемости их деятельности. Эта бизнес-модель основана на разработке платформы, которую партнеры используют для распространения программ-вымогателей, публикации украденных данных и отмывания преступных доходов. Администраторы платформы (группа вымогателей) получают процент от всех платежей, совершенных жертвами через их сервис», — говорится в докладе.
Схема обычно выглядит следующим образом: криптовалютные платежи жертв переводятся на кошелек вымогателей, затем они, как правило, проходят через миксер вроде Tornado Cash и автоматически распределяются между администраторами, партнером, осуществляющим атаку, и поставщиками услуг. Доля прибыли, получаемая партнером, зависит от его статуса. На начальном уровне она составляет ~20–40% выкупа, на более высоких может достигать 80%.
Схема организации участников киберпреступной группы по партнерской программе. Данные: Европол.
Популярная трехуровневая организация киберпреступного сообщества выглядит следующим образом:
основная группа вымогателей — киберпреступники с опытом в различных сферах и долгой историей совместной работы. Они обычно активны на приватных форумах и в чатах. Ядро группы составляют старшие менеджеры и бэкенд-разработчики, которые контролируют операции, управляют активами и развивают платформу;
второй уровень — привлеченные специалисты, выполняющие разные задачи. Среди них могут быть разработчики, пентестеры, специалисты по реверс-инжинирингу, системные администраторы, переговорщики, рекрутеры, менеджеры по кадрам и даже юрисконсульты;
третий уровень состоит из поставщиков услуг и партнеров, ответственных за проведение атак: разработчики криптеров, дропперы, а также специалисты по отмыванию денег и обслуживанию хостинга. Исполнители могут обманом заставлять жертв загружать вредоносное ПО или предоставлять конфиденциальные данные, например, для входа в криптокошельки.
Схожие модели используются во многих векторах атак на блокчейн-приложения. Некоторые CaaS-платформы дают возможность адаптировать вредоносное ПО под конкретные требования преступников и таргетировать атаки. CaaS значительно расширяет возможности киберпреступников, предоставляя им доступ ко всем необходимым инструментам. CaaS применяют различные виды программ, такие как кейлоггеры, трояны, рекламное ПО.
Среди доступных в даркнете CaaS-продуктов многие связаны с криптовалютой:
скомпрометированные активы, базы взломанных аккаунтов;
вредоносное ПО — программы для кражи приватных ключей, а также данных учетных записей криптовалютных кошельков;
DDoS-атаки на криптовалютные платформы или другие онлайн-системы. Клиенты выбирают цель и продолжительность атаки, а исполнители используют ботнеты или другие методы для перегрузки инфраструктуры жертвы;
услуги по отмыванию денег. Помощь в обмене украденной криптовалюты на необнаруживаемые активы или фиатные деньги;
фишинговые комплекты. Наборы для создания поддельных сайтов, имитирующих биржи или криптокошельки с целью кражи персональных данных.
Объединенный фишинг — боль криптомира
В ежегодном отчете аналитиков CertiK за 2024 год говорится о хищении более $1 млрд в результате 296 фишинговых атак.
Все, кто хоть раз участвовали в аирдроп-кампаниях, становятся потенциальными целями для фишинг-хакеров. Расставляя сети из поддельных ссылок на фейковые обменники, аккаунты в X и веб-страницы получения аирдропов, злоумышленники ожидают, пока пользователь клюнет. Электронная почта, соцсети — все наполняется ежедневным спамом с призывом забрать очередную награду свежевыпущенного токена.
Все стало еще хуже с развитием модели CaaS. Зачем тратить месяцы на поиск уязвимостей в системе безопасности организации, если можно нанести удар с помощью готовой фишинговой атаки? Кроме того, эта модель позволила масштабировать кампании, так как сократила их трудозатратность.
Существует также несколько разновидностей дрейнеров — «опустошителей» криптокошельков. Например, вредоносные смарт-контракты предполагают скрытые функции, инициирующие несанкционированные переводы. Другие дрейнеры используют триггеры, основанные на NFT или других видах токенов, для создания поддельных ресурсов, которые производят скрытые и несанкционированные переводы криптовалют.
Криптодрейнеры часто предоставляются по модели DaaS, где поставщики предлагают ПО и поддержку киберпреступникам за процент от украденных средств. Современные сервисы обычно включают:
скрипты для «дренажа» криптовалют «под ключ»;
настраиваемые смарт-контракты;
наборы для фишинга и услуги социальной инженерии;
премиум-услуги по операционной безопасности или анонимности;
помощь с интеграцией и миксерами;
постоянные обновления, обслуживание и техническую поддержку.
В 2024 году прекратили свою деятельность сразу несколько крупных DaaS-платформ. В мае закрылся Pink Drainer, который предоставлял киберпреступникам инструменты для кражи криптовалют, включая социальную инженерию и распространение ссылок. В качестве оплаты разработчики взимали комиссии и процент от украденных средств. Pink Drainer причастен к краже цифровых активов на сумму $85 млн у более чем 21 000 жертв.
В июле были деанонимизированы участники платформы криптофишинга Angel Drainer, появившейся примерно в августе 2023 года. Площадка предлагала инструменты для похищения криптовалют за комиссию в 20% и первоначальный депозит от $5000 до $10 000. Наибольшую популярность платформа приобрела в Telegram. В общей сложности посредством дрейнера украли более $25 млн у 35 000 пользователей. В частности, с ним связывают атаки на Ledger Connect Kit и EigenLayer.
Релиз новой версии DaaS-ПО Angel Drainer в 2023 году в Telegram. Данные: SentinelOne.
Возможно, развитие DaaS стало катализатором смены вектора атаки на пользователей Telegram. Число зарегистрированных случаев мошенничества с вредоносным ПО, нацеленного на криптоинвесторов в мессенджере, превысило объемы традиционного фишинга. С ноября 2024 по январь 2025 года частота подобных атак увеличилась на 2000%. Для привлечения жертв злоумышленники используют поддельных ботов для верификации, приглашения в «эксклюзивные» каналы для торговли или аирдропов. При прохождении фейковой проверки вредоносный код внедряется в буфер обмена, загружая малварь и открывая хакерам доступ к паролям, кошельку и данным браузера.
Даркнет-маркетплейсы наполнены услугами шпионажа за мобильными устройствами, десктопами, взлома электронной почты, мессенджеров вроде Telegram и WhatsApp, а также комплексных мер, нацеленных на кражу биткоинов. Кроме того, пользователям предлагаются детальные видеообзоры с доказательствами работы вредоносов.
Ассортимент даркнет-маркетплейса DARKFOX. Данные: даркнет.
Делайте выводы
Crimeware-as-a-service (CaaS) изменил подход к кибербезопасности для пользователей криптовалют, увеличив риски и потребовав более совершенной защиты. Эта модель снизила порог входа в киберпреступность, позволив даже людям без технических знаний использовать сложные инструменты для взлома. Это, в свою очередь, привело к увеличению количества атак и их масштабов, сделав традиционные меры безопасности малоэффективными.
Ключевыми решениями становятся использование многофакторной аутентификации, аппаратных кошельков и круглосуточного мониторинга угроз. И, как учит Web3-исследователь Владимир Менаскоп, необходимо соблюдать правило трех шагов: безопасность, диверсификация и кастомизация. А если так произошло, что вы попали в беду, можно попросить помощи у «белых шляп», обратившись в круглосуточную «службу спасения» SEAL 911.
