Киберпреступники постоянно стремятся опережать специалистов по защите — и в последние годы у них это получается всё чаще. Лишь в 2023 году произошёл ряд заметных атак, затронувших, в частности, Государственный департамент США и Почту Великобритании.
По оценкам Statista, к 2028 году совокупный ущерб от киберпреступности может достичь $13,82 трлн, тогда как годом ранее он оценивался примерно в $8,15 трлн.
Одна из движущих сил этой динамики — явление, известное как «Киберпреступность как сервис» (CaaS). Его уже называют одной из ключевых угроз в области информационной безопасности.
Модель aaS широко распространена у клиентов облачных сервисов: они получают готовую виртуальную инфраструктуру без крупных капиталовложений и без необходимости заниматься её эксплуатацией.
В случае с CaaS ситуация аналогична, но речь идёт о «тёмных» сервисах: там предлагают готовую платформу и инструменты для проведения кибератак.
Чаще всего такие предложения можно обнаружить в Даркнете — части сети, недоступной для обычных поисковых машин и требующей специальных программ и настроек для доступа.
Сайты в Даркнете скрыты от широкого круга пользователей, и именно там действуют анонимные маркетплейсы с ассортиментом инструментов для атак различного масштаба.
Александр Атаманенко, CEO Octava Defence, поясняет:
«На рынке Cybercrime-as-a-Service обычно встречаются два основных сценария использования. В первом случае заказчик получает «под ключ» результат и не занимается атакой самостоятельно — например, оплачивает DDoS‑кампанию, чтобы временно вывести из строя сайт конкурента в период пиковых продаж; такая услуга может стоить порядка $200–500 в сутки. Во втором — опытные хакеры создают платформы и инструменты, а затем продают доступ к ним, что сильно снижает барьер входа. В результате CaaS масштабирует преступную активность и увеличивает число атак».
Предпосылки для появления и развития CaaS
Здесь хорошо работает старая истина: спрос порождает предложение. Но на рост CaaS влияют и другие факторы — массовая цифровизация и возможность оставаться анонимным в сети.
Одновременно бизнесы выделяют значительные средства на киберзащиту и нанимают профессионалов, чтобы обезопасить свои системы и данные от атак.
Однако у многих потенциальных злоумышленников не хватает знаний и практического опыта для реализации сложных схем, поэтому они обращаются к более квалифицированным преступникам и готовым инструментам. Это и способствовало формированию рынка CaaS в его нынешнем виде.
Микола Мисловський, Senior Frontend Developer в UnderDefense Cyber Security, отмечает ещё один фактор, который стимулирует рост сервиса преступной модели:
«Развитие генеративного ИИ явно ускоряет распространение модели CaaS. Ранее высокий порог входа — необходимость владеть узкоспецифическими техническими навыками — сдерживал многих. Генеративный ИИ снижает этот барьер и делает возможным как создание, так и использование CaaS-бухгалтерии гораздо большим числом людей».
Наиболее распространенные виды CaaS
Для разных задач злоумышленников требуются разные сервисы. Ниже перечислены наиболее востребованные из них:
- Malware-as-a-Service — «вредоносное ПО как услуга». Включает разработку, распространение и поддержку шифровальщиков, троянов и других вредоносных программ. К примеру, RaaS (Ransomware-as-a-Service) шифрует файлы, папки или даже части ОС и требует выкуп за расшифровку; пользователи таких платформ могут самостоятельно задавать суммы выкупа и вести несколько атак одновременно.
- Exploit-as-a-Service — «эксплойт как услуга». Предоставляет доступ к ранее неизвестным уязвимостям (0‑day) или к инструментам, позволяющим их эксплуатировать в корыстных целях.
- Infrastructure-as-a-Service — «инфраструктура как услуга». Это доступ к сети скомпрометированных устройств, используемых для рассылки спама или организации DDoS‑атак. Ботнеты сдаются в аренду для целевых атак на государственные ресурсы, игровые серверы, крупные онлайн‑ритейлеры и прочие объекты.
- Hacking-as-a-Service — «взлом как услуга». Опытные хакеры предлагают свои навыки по взлому систем, похищению данных и прочим задачам по заказу.
Как работает CaaS: пример комплекта для RaaS
RaaS‑наборы входят в число самых популярных предложений благодаря доступной цене: стоимость доступа варьируется от сотен до нескольких тысяч долларов.
Оплатить RaaS можно по-разному: чаще всего это фиксированная ежемесячная подписка, но встречаются и единоразовые лицензионные платежи.
Также распространена партнёрская модель: помимо абонплаты пользователь отчисляет часть прибыли разработчикам. Есть и бесплатные варианты с условием передачи значительной доли выручки авторам инструмента.
Благодаря простоте использования такие RaaS‑комплекты позволяют практически любому человеку проводить атаки — даже без глубоких технических знаний.
Достаточно выполнить несколько простых настроек; для этого не требуются продвинутые навыки в кибербезопасности. Некоторые операторы RaaS даже предоставляют поддержку, чтобы клиенты могли быстро воспользоваться известными векторами атаки.
Обычно RaaS применяется в связке с рассылками и фишинговыми письмами: дешёвые пакеты требуют, чтобы пользователь самостоятельно обеспечивал доставку вредоносного кода, тогда как более дорогие решения автоматизируют рутинные операции.
После успешного заражения злоумышленник получает контроль над системой и выставляет требование о выкупе, иногда прикрепляя ссылки на инструменты, упрощающие оплату.
По данным ряда источников, одним из самых распространённых семейств программ‑выкупателей является Ryuk Ransomware.
Реальные способы защиты от CaaS
Чтобы уберечь цифровые активы, в первую очередь следует придерживаться базовых правил информационной безопасности. В частности:
- Своевременно устанавливать обновления и поддерживать ПО в актуальном состоянии, чтобы закрывать известные уязвимости.
- Пересмотреть политику паролей для всех учётных записей и, где возможно, включить многофакторную аутентификацию для доступа к критическим сервисам.
- Регулярно делать резервные копии важных данных, чтобы иметь возможность быстро восстановиться в случае кражи, повреждения или шифрования — для этого подходят сервисы «бэкап как услуга» и «восстановление после аварий».
- Повышать уровень киберграмотности сотрудников, чтобы снизить вероятность перехода по фишинговым ссылкам, открытия вредоносных вложений и загрузки опасного ПО.
- Инвестировать в комплексные решения для защиты — от антивирусов до систем обнаружения вторжений и мониторинга.
Александр Атаманенко полагает, что появление Cybercrime-as-a-Service не кардинально изменило принципы киберзащиты:
«Организациям по‑прежнему необходимо регулярно пересматривать карту рисков и угроз, внедрять технические средства защиты, выстраивать мониторинг и отлаженные процессы реагирования. Важно понимать, что CaaS масштабирует число атак и участников, хотя сами атаки становятся более стандартизированными. Это даёт и преимущества: разобрав механику типичных нападений и реализовав соответствующие контрмеры, можно отсеять большую долю преступников. Тогда команда реагирования будет заниматься уже меньшим количеством инцидентов. Поэтому важно отслеживать предложения на рынке CaaS и опережать злоумышленников».
Кроме того, можно пойти обратным путём и взять на аутсорс все вопросы безопасности — модель CSaaS (CyberSecurity‑as‑a‑Service). То есть если у компании нет желания, ресурсов или компетенций для самостоятельной защиты, её можно доверить внешнему провайдеру.
Угрозы CaaS для бизнеса
Тренды вызывают опасения: рынок CaaS растёт, конкуренция между игроками, в том числе новичками, ведёт к демпингу цен, а значит инструменты атак становятся ещё доступнее.
Кроме того, за последние годы этот рынок достиг заметной зрелости: за созданием наборов вредоносного ПО стоят квалифицированные специалисты. Всё это напрямую увеличивает риски для бизнеса.
Практика показывает: полностью исключить риск распространения фишинговых рассылок не удаётся даже таким гигантам, как Google и Facebook, хотя эти сообщения порой и выглядят достаточно очевидно.
Главная опасность CaaS для бизнеса заключается в том, что благодаря таким платформам проведение масштабных и разрушительных кибератак становится доступным людям без профессиональной подготовки. Наглядный пример — ботнет Emotet.
Специалисты Check Point установили, что доступ к этому ботнету можно было арендовать всего за $500 в месяц. Мощная волна атак программ-вымогателей в конце 2020 года вывела Emotet на первое место в мировых рейтингах угроз. При этом устранение последствий каждого инцидента, вызванного Emotet, в среднем обходилось компаниям дороже $1 млн.
Николай Мысловский отмечает, что тема CaaS актуальна и для нашей страны:
«Против украинских организаций сейчас действует фактор кибервойны с рф — противник может использовать такие сервисы, чтобы привлекать дополнительные ресурсы для достижения своих целей. В то же время я не слышал о большом количестве реальных случаев, но, возможно, их число станет расти по мере ухудшения экономической ситуации в стране-агрессоре. Нам отчасти помогает сложное экономическое положение в Украине: киберпреступникам нужна выгода, и им интереснее атаковать более состоятельные фирмы Западной Европы и США. Трудно предсказать, какой из этих факторов окажется решающим, но я ожидаю увеличения применения CaaS (включая атаки на украинские организации), поскольку эта отрасль стремительно развивается и привлекает всё менее технически подготовленных людей».
