روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ پول، ریشه‌ی همه‌ی شرارت‌هاست (از جمله جرم سایبری). از این رو سازندگان بدافزار ناگزیر روزی نه تنها شروع خواهند کرد به توزیع برنامه‌های مخرب که همچنین برنامه‌های خود را به مهاجمین ناشی نیز خواهند فروخت. برای همین است ورود به جامعه‌ی جرم سایبری از هر زمان دیگری ساده‌تر شده است. مدل تجاری MaaS (بدافزار به عنوان یک سرویس[1]) حاصل چنین اتفاقی است. MaaS در واقع به توسعه‌دهندگان بدافزار اجازه می‌دهد تا غنایم حملات خود را با بقیه تقسیم کرده و همین بیشتر از هر زمان دیگری ورود به انجمن مجرمان را آسان‌تر کرده است. ما در این مقاله سعی کرده‌ایم نحوه ساماندهی MaaS را تحلیل کرده و پی ببریم کدام بدافزار اغلب از طریق این مدل توزیع شده و چطور بازار MaaS به رویدادهای خارجی وابسته است. با ما همراه بمانید.

نتایج تحقیق

ما از منابع مختلف داده‌ها را بررسی کردیم؛ از جمله دارک‌وب که در آن 97 خانواده کشف کردیم که از سال 2015 توسط مدل MaaS توزیع شدند. سپس این‌ها را به 5 گروه (بنا بر قصدی که داشتند) تقسیم‌بندی کردیم: باج‌افزارها، سارقین اطلاعات، لودها، بک‌درها و بات‌نت‌ها. همانطور که انتظار می‌رفت، بیشتر این خانواده‌های بدافزار که توسط MaaS توزیع شدند به ترتیب باج‌افزار (58 درصد)، سارقین اطلاعات (24 درصد) بودند و بقیه (18 درصد) بین بات‌نت‌ها، لودرها و بک‌درها تقسیم شده بودند.

گرچه بیشتر خانواده‌های بدافزار شناسایی‌شده، باج‌افزار بودند اما خانواده‌هایی که در جوامع داک‌وب اغلب اشاره شدند سارقین اطلاعات بودند. باج‌افزار از حیث فعالیت در دارک‌وب رتبه دوم را دارد و از سال 2021 این افزایش نیز پیدا کرده است. در عین حال رقم کلی ارجاعات به بات‌نت، بک‌در و لودر به تدریج در حال کاهش است.

بین تعداد منشن‌ها یا ارجاعات خانواده بدافزار روی دارک و دیپ‌وب و چندین رخداد مختلف مربوط به جرایم سایبری مانند حملات سایبری تشدیدشده، همبستگی مستقیم وجود دارد. ما با استفاده از تحلیل عملکردی و گذشته‌نگرانه رخدادها اصلی را شناسایی کردیم که بحث بدافزارها در هر خانواده را حتی داغ‌تر کرده‌اند. در مورد باج‌افزارها هم ساز و کار ارجاعات را با استفاده از 5 خانواده بدنام –در قالب نمونه- دست به تحقیق زدیم: GandCrab, Nemty, REvil, Conti و lockBit.

خاتمه عملیات گروهی، دستگیری اعضا، و حذف پست‌ها در انجمن‌های مخفی درباره گسترش باج‌افزار نتوانسته است به طور کامل فعالیت‌های مجرمانه سایبری را متوقف کند. گروه جدید جایگزین گروهی می‌شود که فعالیت خود را متوقف کرده و اغلب از اعضای گروه منحل شده استقبال می‌کند.

واژه‌شناسی MaaS و الگوهای عملیاتی

مهاجمینی که MaaS را ارائه می‌دهند مشترکاً اپراتور صدا زده می‌شوند. مشتری که از این سرویس استفاده می‌کند نیز هویتی وابسته است و خود سرویس نیز برنامه وابسته نامیده می‌شود. ما تبلیغات MaaS مختلفی را بررسی و در این مدل توزیع بدافزار هشت جزء ذاتی شناسایی کردیم. یک اپراتور MaaS معمولاً تیمی است متشکل از چندین فرد با نقش‌های مختلف. برای هر 5 طبقه‌بندی بدافزار، با جزئیات مراحل مختلف شرکت در برنامه وابسته را از ملحق شدن گرفته تا رسیدن به هدف غایی مهاجمین بازنگری کردیم و پی بردیم در سرویسی که اپراتورها ارائه دادند چه چیزهایی بوده است، چطور مهاجمین با همدیگر تعامل می‌کنند و از چه کمک‌های طرف‌سومی استفاده می‌کنند. هر لینک این زنجیره فکرشده است و با زیرکی طراحی گشته و هر شرکت‌کننده نیز نقشی برای ایفا کردن دارد.

مجرمان سایبری اغلب از یوتیوب برای توزیع سارقین اطلاعات خود استفاده می‌کنند. آن‌ها اکانت‌های کاربران را هک کرده و ویدیوها را با تبلیغات کرک و دستورالعمل‌هایی برای نحوه هک کردن برنامه‌های مختلف آپلود می‌کنند. در مورد سارقین اطلاعات MaaS، توزیع به مهاجمین ناشی و قاچاقچیانی که توسط این وابسته‌ها استخدام می‌شوند متکی هستند. در برخی موارد، ممکن است تنها با داشتن نمونه بدافزاری که توزیع می‌شوند قاچاقچی یا انتقال‌دهنده را ناشناس کرد.

منبع: کسپرسکی آنلاین (ایدکو)