Trend Micro подсчитала сколько стоят услуги хакеров

Trend Micro подсчитала сколько стоят услуги хакеров

На российском рынке вредоносной компьютерной активности работает около 20 тыс. россиян и выходцев из бывшего СССР, оценили эксперты производителя антивирусного софта TrendMicro. Они зафиксировали более 51 тыс. предложений купли-продажи услуг DDoS-атак, спам-рассылок, взлома электронной почты и аккаунтов в социальных сетях.

Американо-японский производитель антивирусного софта Trend Micro опубликовал доклад "Russian Underground 101", в котором рассказывается об услугах российского рынка киберпреступности и расценок на них за последний год. Как рассказал "Ъ" старший вирус-аналитик Trend Micro Максим Гончаров, для создания отчета были проанализированы более 130 хакерских форумов с открытым доступом, в том числе Antichat.ru, Xeka.ru, Carding-cc.com, Exploit.IN. Самой популярной услугой, которую россияне и выходцы из бывшего СССР оказывали на нелегальном рынке компьютерной вредоносной активности, было заказное программирование. В частности, создавались блокираторы Windows, троянцы, спам-алгоритмы, боты DDoS. По словам господина Гончарова, представители российского киберподполья выполнили 989 таких заказов, более 4 тыс. программ выполнили программисты из бывшего СССР, пишет kommersant.ru.

Для рассылок вредоносного кода злоумышленнику требуются сайт и хостинг, говорит Максим Гончаров. До недавнего времени у хакеров были популярны сайты в доменной зоне .ru. Но около полутора лет назад для регистрации сайтов в этой зоне начали требовать копию паспорта, документы теперь нужны для регистрации хостинга. Поэтому количество зараженных сайтов в зоне .ru резко сократилось, но в продаже на форумах появились отсканированные документы — паспорта, водительские удостоверения, отметил собеседник "Ъ". Так, по его данным, скан паспорта гражданина РФ или страны СНГ стоит от $2 до $5, европейского паспорта — $5. Копии документов могут утекать, например, из московских вокзалов, где паспорта сканируют при сдаче багажа в камеру хранения, рассуждает господин Гончаров.

Популярной услугой у хакеров был взлом аккаунтов электронной почты Mail.ru, Yandex.ru и Rambler.ru, за что они просили от $16 до $150. За взлом зарубежных сервисов электронной почты хакеры просили премию. Цены за доступ к аккаунту в Gmail были на уровне $180, Hotmail — до $350. За взлом корпоративной почты злоумышленники просили $500. На форумах были также предложения о взломе аккаунтов в социальных сетях "В контакте", "Одноклассники", Facebook и Skype, но подобные услуги менее популярны, отмечается в докладе. Взлом аккаунта в сетях "В контакте" и "Одноклассники" стоит от $97 до $130, если хакеру будет известен адрес электронной почты владельца аккаунта, в противном случае цена за нелегальную услугу начинается от $325.

"Российский андеграунд — это порядка 135 форумов, где на десятках тысяч страниц предлагается купить или продать инструменты для киберпреступности. Это тысячи людей, которые разбиты на группировки по сфере деятельности и профессионализму. Но это только верх айсберга — также существуют закрытые форумы, IRC-каналы и VPN-сети, где индустриальные обороты и серьезные цены. Это позволяет утверждать о том, что нелегальный IT-рынок в России довольно широк",— говорит Максим Гончаров. Всего за прошлый год на форумах он насчитал более 51 тыс. предложений хакерских и других услуг от порядка 4 тыс. злоумышленников из России и 15 тыс. жителей СНГ. В среднем цена сделки равна $50, а значит, средний оборот за 12 месяцев — около $2,5 млн, подсчитал господин Гончаров.

Глава центра вирусных исследований ESET Александр Матросов говорит, что исследование Trend Micro не учитывает криминальный бизнес, связанный с банковскими вредоносными программами, а он самый прибыльный. "Заработок одной киберкриминальной группы среднего размера, работающей по российским банкам,— миллионы рублей в неделю",— утверждает господин Матросов. Русские хакеры в прошлом году заработали $4,5 млрд (данные Group IB), и это ближе к реальности, заключает он.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Coyote — первый вредонос, который шпионит через Windows UI Automation

Исследователи из Akamai зафиксировали реальное применение новой техники кражи данных — теперь банковский троян Coyote использует функции Windows, предназначенные для людей с ограниченными возможностями, чтобы следить за действиями пользователя.

Речь идёт о Microsoft UI Automation (UIA) — это фреймворк, который позволяет программам вроде экранных дикторов считывать содержимое интерфейса. Идея отличная, но в руках злоумышленников она становится инструментом для кражи логинов и паролей.

Троян Coyote появился в начале 2024 года и изначально использовал классические методы вроде кейлоггинга и фишинговых наложений. Теперь он стал умнее. Если раньше вредонос искал в названии окна упоминание банка или криптобиржи, то теперь он «залезает» в сам интерфейс браузера и вытаскивает оттуда адрес сайта — через UIA.

Если троян находит совпадение с одним из 75 заранее зашитых в него сервисов (банки вроде Banco do Brasil, Santander, CaixaBank, и криптобиржи вроде Binance, Electrum, Foxbit), он начинает активную фазу кражи данных. При этом сам метод UIA пока используется только на этапе разведки, но Akamai уже показала, что через него можно считывать и введённые логины, и пароли.

«Если не удаётся определить цель по заголовку окна, Coyote использует UIA, чтобы добраться до элементов интерфейса — вкладок и адресной строки, — и сравнивает найденное с зашитым списком», — говорится в отчёте Akamai.

 

Изначально Akamai предупреждала о такой уязвимости ещё в декабре 2024 года — тогда это была теоретическая угроза. Теперь она стала реальностью.

Особенность подхода — обход защит EDR. UIA не вызывает подозрений у антивирусов и систем мониторинга, потому что считается частью стандартной функциональности Windows. При этом такие же проблемы есть и в Android — там службы доступности давно используются в вредоносах, и Google уже не первый год борется с этой лазейкой.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru