Nie bez powodu Crime as a Service kojarzy się z popularnym modelem biznesowym znanym z legalnych struktur korporacyjnych. Przestępstwo jako usługa wykorzystuje podobny mechanizm, jak rozwiązania typu IaaS czy PaaS, z tą różnicą, że zasoby udostępnione w ramach CaaS służą do popełniania przestępstw w cyberprzestrzeni.

 

Celem CaaS jest zapewnienie łatwiejszego dostępu do narzędzi cyfrowych mniej doświadczonym cyberprzestępcom. Obniża to próg wejścia i zwiększa liczbę popełnianych przestępstw.

 

Crime as a Serive oferowane jest głównie za pośrednictwem Darknetu. Przestępcy mogą korzystać z udostępnionych zasobów w ramach abonamentu, jednorazowej opłaty czy programów przypominających franczyzę. Otrzymują oni dostęp do przyjaznych, intuicyjnych paneli sterowania, które zapewniają szerokie możliwości konfiguracji danej usługi przestępczej.

 

Dlaczego CaaS staje się popularne w cyberprzestępczości?

 

Popełnianie przestępstw w cyberprzestrzeni wymaga specjalistycznej wiedzy technicznej lub socjotechnicznej. Crime as a Service znacząco obniża te wymagania – przestępcy mogą wykupić dostęp do wszystkich potrzebnych narzędzi i infrastruktury, zamiast tworzyć je samodzielnie. Skraca to czas potrzebny na przygotowanie ataku i ułatwia jego przeprowadzenie.

Popełnianie przestępstw w modelu CaaS zmniejsza także koszty. Zorganizowane grupy wyspecjalizowane w cyberprzestępczości mogą dzięki temu skalować swoje działania, zachowując względne bezpieczeństwo przed organami ścigania. Do zwiększania skali przestępczej działalności nie muszą też werbować specjalistów, bowiem obsługi narzędzi mogą nauczyć się nawet mniej doświadczeni cyberprzestępcy.

Popyt na CaaS napędzany jest także przez… marketing, który organizują cyberprzestępcy. Oferenci organizują kampanie promocyjne, tworzą strony sprzedażowe swoich usług, oferują zniżki dla stałych klientów i programy lojalnościowe, udostępniają wersje demo, udzielają gwarancji SLA w przypadku, gdyby narzędzia do przeprowadzania ataku zawiodły, a niekiedy nawet zapewniają wsparcie techniczne 24/7/365. Dzięki temu specjaliści dostarczający usługi mogą monetyzować swoje umiejętności w sposób zbliżony do tego, który znamy z legalnych usług IT. Pozwala im to skupiać się na posiadanych kompetencjach, zamiast na samym przeprowadzaniu ataków.

   

Podobnie jak w przypadku legalnych usług, CaaS zapewnia wiele różnych rozwiązań. Oprócz samych narzędzi i infrastruktury często oferowana jest także pomoc techniczna, dokumentacja czy dostęp do społeczności.
 

   

Ransomware as a Service (RaaS)

 

Według raportu „The State of Ransomware 2024” firmy Sophos przeciętny okup za odszyfrowanie danych wynosił 2 miliony dolarów. Ponadto 32% ofiar doświadczyło nie tylko zaszyfrowania danych, ale też ich kradzieży. W modelu RaaS twórca złośliwego oprogramowania, które szyfruje dostęp do plików, udostępnia je w zamian za udział w zyskach (zwykle 20–30%), jednorazową opłatę lub abonament.

Kupujący musi samodzielnie wytypować ofiarę, doprowadzić do zainfekowania urządzenia i wynegocjować okup, ale otrzymuje od operatora usługi wszystkie niezbędne narzędzia.

Przykłady popularnych RaaS to:  

 

• DarkSide,
• REvil,
• Dharma,
• BlackCat,
• LockBit.

 

DDoS

 

Atak DDoS polega na przeciążeniu zasobów sprzętowych ofiary poprzez jednoczesne wysyłanie ogromnej liczby zapytań z wielu źródeł. W modelu CaaS osoba zlecająca atak nie musi posiadać własnego botnetu – wskazuje jedynie cel, typ i czas trwania ataku. W wyniku ataku infrastruktura ofiary staje się niedostępna. Może to zostać wykorzystane m.in. przez nieuczciwą konkurencję czy szantażystów.

 

Koszt zlecenia ataku zaczyna się już od kilku dolarów za godzinę. Im lepiej zabezpieczone są zasoby ofiary, tym koszt staje się wyższy.

 

Ataki phishingowe

 

W ramach CaaS oferowane są kompleksowe rozwiązania pozwalające na przeprowadzanie ataków phishingowych – od szablonów wiadomości e-mail, przez infrastrukturę, aż po rozwiązania utrudniające namierzenie atakującego. Systemy te mogą również przesyłać zdobyte informacje do twórcy oprogramowania, który może wykorzystać do popełnienia dalszych przestępstw.

 

Wykorzystanie malware na zamówienie

 

W ramach Malware as a Serivce dystrybuowane są różne rodzaje złośliwego oprogramowania wraz z całą potrzebną infrastrukturą. Możliwe jest także zamówienie wirusa stworzonego specjalnie pod konkretną ofiarę lub specyficzne potrzeby przestępcy. Ceny dostępu do MaaS wynoszą od kilkudziesięciu dolarów do nawet kilku tysięcy za miesiąc. Zależą one m.in. od rodzaju systemu bądź aplikacji, które mają paść celem ataku, a także poziomu skuteczności, liczby instalacji i lokalizacji. Im lepiej zabezpieczony jest atakowany system, tym wyższa jest cena – malware wykorzystujący podatności urządzeniach z iOS kosztuje więcej niż ten, który został napisany do atakowania urządzeń z systemem Android. Cena MaaS realizowanego w bogatych częściach świata, np. USA czy Europie, może być nawet 10-krotnie wyższa niż w przypadku biedniejszych obszarów.

   

Jednym z najgłośniejszych przypadków użycia usługi działającej w modelu Crime as a Service był atak na Colonial Pipeline Company z maja 2021 roku przeprowadzony z wykorzystaniem ransomware DarkSide. W jego wyniku poważnie ucierpiała infrastruktura krytyczna Stanów Zjednoczonych. Firma była zmuszona zapłacić okup w wysokości 75 BTC, co odpowiadało wówczas około 14 milionom złotych. Reperkusje ataku były tak poważne, że zdystansowali się od niego sami twórcy oprogramowania. Poinformowali, że postarają się w przyszłości ograniczyć możliwość atakowania infrastruktury krytycznej przez swoich partnerów.

 

Opłata za skorzystanie z RaaS DarkSide uzależniona była od wysokości okupu i prawdopodobnie wynosiła 25% dla kwot poniżej 500 tys. dolarów i 10% dla okupów powyżej 5 mln dolarów. Uzyskanie dostępu do panelu DarkSide wymagało przejścia weryfikacji w formie wywiadu.

 

W 2021 roku grupa DarkSide wydała oświadczenie, że zamyka wszystkie swoje usługi ze względu na naciski ze strony USA. Departament Stanu USA zaoferował nagrodę w wysokości do 10 milionów dolarów za informacje o operatorach tej usługi.

 

DarkSide to przykład rozwiązania wymierzonego w duże organizacje. Przestępcy, którzy wiedzą, co to jest CaaS, mają dostęp również do usług pozwalających atakować mniejsze firmy, co może spowodować straty finansowe, utratę danych, pogorszenie reputacji czy nałożenie kar.

   

Niestety można się spodziewać, że skala cyberprzestępczości będzie tylko rosła. To niezwykle intratny biznes, który przyciąga coraz więcej grup przestępczych, zajmujących się dotychczas głównie tradycyjnymi działaniami przestępczymi, takimi jak kradzieże czy handel narkotykami. Popularyzacja tej formy nielegalnych działań nie oznacza jednak, że atakowane firmy pozostają bezbronne.

 

Walka z zagrożeniami wynikającymi z CaaS wymaga kompleksowego podejścia do ochrony zasobów IT. Warto więc zainwestować w więcej niż jedno rozwiązanie z zakresu cyberbezpieczeństwa. Ze względu na mnogość zagrożeń podstawową linią obrony powinno być wsparcie profesjonalnego Security Operations Center. W ramach usługi oferowanej przez Netię organizacje otrzymują stały monitoring przy pomocy systemów SIEM i SOAR, reagowanie na wykryte incydenty i szczegółową analitykę zagrożeń.

 

Korzystając z Netia Cloud Firewall firmy otrzymują kompleksową ochronę ruchu internetowego, w tym skanowanie pod kątem obecności złośliwego oprogramowania, blokowanie SPAM-u czy kontrolę dostępu do aplikacji. W połączeniu z usługą Netia DDoS Protection zapewnia to ochronę przed większością najpopularniejszych ataków realizowanych w modelu CaaS.

 

Netia świadczy też wiele innych usług bezpieczeństwa, które zwiększają odporność organizacji na działania cyberprzestępców:

 

• Incident Monitoring
• Ochrona Poczty
• Data Protection
• DNS Shield
• Phishing-On-Demand
• Managed UTM / NGFW
• Managed WAF

 

Specjaliści ds. cyberbezpieczeństwa Netii chętnie doradzą i pomogą w stworzeniu systemu bezpieczeństwa teleinformatycznego, który będzie odporny na większość popularnych zagrożeń.