Het Kaspersky Digital Footprint Intelligence-team heeft een nieuwe studie gepresenteerd waaruit blijkt dat ransomware de meest wijdverspreide Malware-as-a-Service (MaaS) van de afgelopen zeven jaar is. De studie is gebaseerd op onderzoek naar 97 malwarefamilies die zijn verspreid via het dark web en andere bronnen. Daarnaast ontdekten de onderzoekers dat cybercriminelen vaak infostealers, botnets, loaders en backdoors leasen om hun aanvallen uit te voeren.
Malware-as-a-Service (MaaS) is een illegaal bedrijfsmodel waarbij software wordt gehuurd om cyberaanvallen uit te voeren. Meestal krijgen klanten van dergelijke diensten technische ondersteuning en een persoonlijk account waarmee ze de aanval kunnen besturen. Dit verlaagt de aanvankelijke drempel van deskundigheid die cybercriminelen in spe nodig hebben.
Ransomware als populairste Malware-as-a-Service
Kaspersky-experts onderzochten de verkoopvolumes van verschillende malwarefamilies, maar ook vermeldingen, discussies, berichten en zoekadvertenties op het darknet en andere bronnen met betrekking tot MaaS om de populairste typen te identificeren. De leider bleek ransomware te zijn, of kwaadaardige software die gegevens versleutelt en betaling eist voor ontsleuteling. Het was goed voor 58 procent van alle families die tussen 2015 en 2022 werden gedistribueerd onder het MaaS-model. De populariteit van ransomware kan worden toegeschreven aan het vermogen om hogere winsten te genereren in een korter tijdsbestek dan andere soorten malware.
Cybercriminelen kunnen zich gratis "abonneren" op Ransomware-as-a-service (RaaS). Zodra ze partners worden in het programma, betalen ze voor de service nadat de aanval heeft plaatsgevonden. Het betalingsbedrag wordt bepaald door een percentage van het losgeld dat door het slachtoffer wordt betaald, meestal variërend van 10 procent tot 40 procent van elke transactie. Deelnemen aan het programma is echter geen eenvoudige taak, omdat er aan strenge eisen moet worden voldaan.
Verdeling malwarefamilies, 2015-2022, met
voorbeelden van de populairste families in elk type. Bron: Kaspersky
Digital Footprint Intelligence
Infostealers waren goed voor 24 procent van de malwarefamilies die als service werden gedistribueerd in de geanalyseerde periode. Dit zijn kwaadaardige programma's die zijn ontworpen om gegevens te stelen, zoals referenties, wachtwoorden, bankpassen en -rekeningen, browsergeschiedenis, gegevens van cryptowallets en meer.
Infostealer diensten worden betaald via een abonnementsmodel. Ze zijn geprijsd tussen 100 en 300 dollar per maand. Raccoon Stealer bijvoorbeeld, dat begin februari 2023 werd stopgezet, kon worden aangeschaft voor 275 dollar per maand of 150 dollar per week. Volgens informatie die door de exploitanten op Darknet is geplaatst heeft concurrent Redline een maandelijke prijs van 150 dollar. Er is ook een optie om een levenslange licentie te kopen voor 900 dollar. Aanvallers maken ook gebruik van extra diensten tegen extra betaling.
18 procent van de malwarefamilies die als service worden verkocht, bleken botnets, loaders en backdoors te zijn. Deze bedreigingen zijn samengevoegd in één groep omdat ze vaak een gemeenschappelijk doel hebben: het uploaden en uitvoeren van andere malware op het apparaat van het slachtoffer. "De prijs van loader Matanbuchus varieert bijvoorbeeld in de loop van de tijd. De prijs in juni van het huidige jaar begint bij 4900 dollar per maand. Dit type malware is duurder dan infostealers, bijvoorbeeld omdat de kwaadaardige code zelf complexer is en de operator in dit geval alle infrastructuur levert - wat betekent dat de partners niet extra hoeven te betalen voor bulletproof hostingdiensten wanneer ze Matanbuchus gebruiken. Het is vermeldenswaardig dat het aantal abonnees op Matanbuchus zeer beperkt is, waardoor aanvallers langer onopgemerkt kunnen blijven", zegt Alexander Zabrovsky, Digital Footprint Analyst bij Kaspersky.
Onderdelen van MaaS en hiërarchie van kwaadwillenden
De cybercriminelen die MaaS-platforms exploiteren worden meestal operators genoemd, terwijl degenen die deze diensten kopen bekend staan als affiliates. Na het sluiten van een deal met operators, krijgen affiliates toegang tot alle noodzakelijke componenten van MaaS, zoals command-and-control (C2) panels, builders (programma's voor het snel maken van unieke malware samples), malware en interface upgrades, ondersteuning, instructies en hosting. De panels zijn een essentieel onderdeel waarmee aanvallers de activiteiten van de geïnfecteerde machines kunnen controleren en coördineren. Cybercriminelen kunnen bijvoorbeeld gegevens exfiltreren, onderhandelen met een slachtoffer, contact opnemen met ondersteuning, unieke malwarevoorbeelden maken en nog veel meer.
Sommige soorten MaaS, zoals infostealers, stellen affiliates in staat om hun eigen soort team samen te stellen. Leden van zo'n team worden traffers genoemd - cybercriminelen die malware verspreiden om de winst te verhogen en rente, bonussen en andere betalingen van affiliates te genereren. Traffers hebben geen toegang tot het C2-panel of andere tools. Hun enige doel is om de verspreiding van de malware op te schalen. Meestal bereiken ze dit door samples te vermommen als cracks en instructies voor het hacken van legitieme programma's op YouTube en andere websites.
Een voorbeeld van een video die door handelaren wordt gebruikt om een infostealer te verspreiden
"Cybercriminelen verhandelen actief illegale goederen en diensten, waaronder malware en gestolen gegevens, via de schaduwsegmenten van het internet. Door te begrijpen hoe deze markt is gestructureerd, kunnen bedrijven inzicht krijgen in de methoden en motivaties van potentiële aanvallers. Gewapend met deze informatie kunnen we bedrijven beter helpen effectieve strategieën te ontwikkelen om cyberaanvallen te voorkomen door cybercriminele activiteiten te identificeren en te monitoren, de informatiestroom te volgen en op de hoogte te blijven van opkomende bedreigingen en trends", voegt Alexander Zabrovsky toe.
Meer informatie over de werking van Malware-as-a-Service vind je op Securelist.
