Бизнес-модель современной

киберпреступности

Лукацкий Алексей, консультант по безопасности

security-request@cisco.com

ВВЕДЕНИЕ В

КИБЕРПРЕСТУПНОСТЬ

Киберпреступность: недавнее прошлое

Результат

Шпионаж)

Слава

Кража

Разработчики Актив

Черви

Инструменты атак

Вирусы

Трояны

Вредоносное ПО

Скомпрометиро-ванные хост или

приложение

Скомпрометиро-ванное

окружение

Эволюция угроз

Вирус Шпионское

ПО

Malware

(трояны,

кейлоггеры,

скрипты)

Эксплоиты

Исследования

NSS LAB

показывают, что

даже лучшие

антивирусы и

Web-шлюзы не

эффективны

против

современных

угроз

Вредоносные

программы

воруют уже не

ссылки на

посещаемые

вами сайты, а

реквизиты

доступа к ним

Web и социальные

сети все чаще

становятся

рассадником

вредоносных

программ, а также

инструментом

разведки

злоумышленников

Вредоносные

программы

используют для

своих действий

неизвестные

уязвимости (0-Day,

0-Hour)

Эволюция тактики реализации угроз

Массовое

заражение Полимор-

физм

Фокус на

конкретную

жертву

Передовые

и тайные

средства

(APT)

Злоумышленников

не интересует

известность и

слава – им важна

финансовая

выгода от

реализации угрозы

Современные угрозы

постоянно меняются,

чтобы средства

защиты их не

отследили –

изменение

поведения, адресов

серверов управления

Угрозы могут быть

разработаны

специально под вас –

они учитывают вашу

инфраструктуры и

встраиваются в нее, что

делает невозможным

применение

стандартных методов

анализа

Угрозы становятся

модульными,

самовосстанавлива-

ющимися и

устойчивыми к

отказам и

обнаружению

Киберпреступность: настоящее

Разработчики Посредники Атаки второй волны

Создание ботнетов

$$$ Финансовые потоки $$$

Черви

Шпионское ПО

Инструменты атак

Вирусы

Трояны

Вредоносное ПО

Атаки первой волны

Заражение

Прямая атака от хакера

Продажа информации

Рассылка Спама

Фишинг/ Сбор информации

DDoS

Атака на отдельные системы и

приложения

Результат

Мошенничество

Реклама

Мошеннические продажи

Накручивание кликов

Шпионаж

Слава

Месть

Вымогательство

Управление ботнетом:

Аренда, продажа

Кража информации

Фарминг, DNS Poisoning

Cisco Cybercrime ROI Matrix

ВВЕДЕНИЕ В БИЗНЕС-

МОДЕЛИРОВАНИЕ

Где деньги – там бизнес… и бизнес-модели!

• Бизнес-модель – это стратегический план, который претворяется

в жизнь через организационные структуры, процессы и системы

– Говоря о киберпреступности, обычно рассматриваются все эти

элементы по отдельности

• Бизнес-модель состоит из 9 обязательных элементов

– Потребительский сегмент

– Ценностное предложение

– Каналы сбыта

– Взаимоотношения с клиентами

– Потоки поступления доходов

– Ключевые ресурсы

– Ключевые виды деятельности

– Ключевые партнеры

– Структура издержек

Шаблон бизнес-модели

Ключевые

партнеры

Ключевые

виды деятельности

Ценностные

предложения

Взаимоотношения

с клиентами

Потребительские

сегменты

Ключевые

ресурсы Каналы сбыта

Структура издержек Потоки поступления доходов

Потребительские сегменты

• Клиенты – сердце любой бизнес-модели

– Киберпреступники

• Владельцы ботнетов

• Спамеры

• Кардеры

• Мулы (дропперы)

• Разработчики вредоносного ПО и т.д.

– Компании, покупающие информацию об уязвимостях

– Компании-производители продуктов и услуг

• Потребности (для киберпреступников)

– Быстрота

– Скрытность

– Автоматизация

– Гибкость

Ценностное предложение

• Какие товары и услуги представляют ценность для каждого

потребительского сегмента?

– Какая ценность предлагается потребителю?

– Какие проблемы помогают решить потребителю?

– Какие потребности удовлетворяются?

– Какие продукты и услуги предлагаются потребителю?

В чем ценность продуктов для киберпреступников?

• Новизна и инновации

• Производительность

• Изготовление на заказ

• Доработка и поддержка

• Скрытость

– Заказа и работы покупаемого продукта

• Автоматизация, удобство, гибкость

• Концентрация на профильном бизнесе – остальное делает заказчик

• Цена

– Снижение расходов (хостинг, сдача в аренду бот-сетей и т.п.)

• Снижение рисков (хостинг в «толерантных» странах)

• Доступность

– Для новых категорий клиентов (автоматизация и тулкиты)

Пример: инновации в спаме

• Рост сложности

– Фокусировка

– Скрытые ссылки

• Новые вектора

– SMS vishing

– IM SPAM (SPIM)

– Социальные сети

• Социальный инжиниринг

• 50% пользователей

открывают спам или

кликают по ссылкам в

нем

Спам vs фишинг

• Объем спама снижается

• Объем фишинга растет

• Целевые атаки на более

ценные объекты более

выгодны

Пример: ценность в автоматизации

Пример: ценность в управлении

Эксклюзивные разработка и услуги

Каналы сбыта

• Собственные / Партнерские

• Прямые – большая прибыль, но дороже организация и

управление

– Торговые агенты

– Продажи через Интернет

• Непрямые – меньшая прибыль, но больший охват

– Фирменные магазины

– Партнерские магазины

– Оптовики

Простая реклама инструментов рассылки спама

• Еще в 2003г. появились коммерческие программы для рассылок

спама, такие как: Dark, Revolution и Reactor Mailer

«Спонсорская» реклама в поисковиках

Установка фальшивого антивируса через партнеров

• Установка adware через ботнет – $0.3-1.5 за одну копию ПО

• Установка malware через ботнет – от $3 (CH) до $140 (US)

Пример: партнерская сеть Bakasoftware

• Партнерская сеть по продаже

scareware

– Рекламируется на GlavMed

• Партнеры загружают

scareware на зараженные

компьютеры и получают

комиссию 60% c продаж

– Русские IP не заражаются

• Объем продаж за десять дней

$147K (154 825 установки и 2

772 продажи)

– Платит 1-2% зараженных

пользователей

• $5M в год Источник: http://www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus-part-2

Статистика продаж Bakasoftware за 10 дней

Day 10

Day 1

Day 2

Day 3

Day 4

Day 5

Day 6

Day 7

Day 8

Day 9

Total

Взаимоотношения с клиентами

• Мотивация взаимоотношений

– Приобретение клиентов

– Удержание клиентов

– Увеличение продаж

• Типы взаимоотношений

– Персональная поддержка

– Особая персональная поддержка

– Самообслуживание

– Автоматизированное обслуживание

– Сообщества

Можно создать, а можно купить бота

Полный сервис

Полный сервис

Потоки поступления доходов

• За что готовы платить потребители?

• Типы доходов

– Разовые сделки

– Регулярный доход от периодических платежей, получаемых от

клиентов за ценностные предложения или постпродажное

обслуживание

• Виды

– Продажа активов

– Плата за использование

– Оплата подписки

– Аренда/лизинг

– Лицензии

– Процент от сделки

– Реклама

«Давить на жалость»

«Давить на жалость»

Монетизация Koobface

• Вредоносный код перехватывает учетные записи пользователей

в социальных сетях и рассылает вредоносные ссылки

• Вредоносный код «говорит» пользователю, что он инфицирован и

должен приобрести антивирус для лечения его ПК

Разные доходы от одного продукта – ботнета

Создание ботнета

Ботнет

Сдать в аренду

Использовать

Продать

DDoS

Рассылка спама

Установка scareware

Кража данных

Фишинг

Поисковый спам

Продажа PAN

Продажа account

Продажа ПДн Стоимость

$0.5 за бот для небольших ботнетов

$0.1-0.3 за бот для крупных ботнетов

Аренда

$2000 в месяц за 1000 писем в минуту

Ценообразование

• Фиксированные цены

– По прайс-листу

– В зависимости от характеристик продукта/услуги

– В зависимости от потребителя

– В зависимости от величины закупки

• Свободные цены

– Договорная цена

– Управление доходами

– Аукцион

Учетная запись в

банке

Украсть деньги самому

Продать учетную запись

Фиксированная цена ($1-1500)

% от суммы на счете

Цена на запись зависит от количества

Немного цифр

• Стоимость DDoS-атаки

– От $50 до $1000-2000 в сутки

• Стоимость ПДн

– Жителя США/Канада – $5-8

– Жителя Евросоюза – $10-15

• Стоимость e-mail

– $20-100 за базу из 1М адресов электронной почты

– Стоимость спамерской рассылки – $150-200 на 1М адресов

• Стоимость учетных записей платных ресурсов

– $7-15 за учетную запись популярного онлайн-магазина

• Аренда FastFlux-хостинга – $1000-2000 в месяц

• 16-17% кликов по рекламным ссылкам мошеннические

• Редиректы - $0.5-1 за тысячу пользователей

Ценообразование зависит от страны

Богатые тоже платют!

Источники

фишинговых атак

Цели фишинговых

атак

Деньги играют важную роль, но есть и другие мотивы

• Отсутствие желания заработать не означает отсутствие бизнес-

модели

– Anonymous, Lulzsec демонстрируют это в полной мере

Кибер-

террористы

Кибер-

воины

Хактивисты Писатели

malware

Старая

школа

Фрикеры Самураи Script

kiddies

Warez

D00dz

Сложность + + + + +

Эго + + + +

Шпионаж + +

Идеология + + + + +

Шалость + + +

Деньги + + + + +

Месть + + + +

Источник: Furnell, S. M

Ключевые ресурсы

• Материальные

• Интеллектуальные

• Персонал

• Финансы

Ресурсов надо не так много – их можно купить

• Smartbot.Net Malware

– Opened CD-ROM tray

– “If your cd-rom drive’s open . . .you

desperately need to rid your system of

spyware pop-ups immediately! Download

Spy Wiper now!”

– Spy Wiper продавался за $30

• Рассылка спама через

Twitter/Facebbok/MySpace

– Фишинг и кража паролей

– Заработок свыше $500K

Сэнфорд Вуоллэс

Ключевые виды деятельности

• Производство

• Разрешение проблем

• Платформы/сети

Для RAT производство spyware – это стиль жизни

Производство и разрешение проблем

Источник: http://www.securityfocus.com/news/11476

Mpack как коммерческий проект основан в 2006г. тремя Русскими

программистами.

Стоимость продукта с годовой подпиской на обновления $500 – $1000

Q: Как вы получаете эксплойты?

A: Для нашего продукта мы используем два основных метода:

1. Друзья присылают нам любые материалы найденные в Интернете,

купленные, или полученные от других.

2. Анализ публично анонсированных уязвимостей и POC-эксплойтов.

Иногда мы платим за эксплойты. Средняя цена за zero-day уязвимость в

Internet Explorer составляет $10 000 в случае хорошей эксплуатации.

Q: Ощущаете ли вы чувство вины перед жертвами заражений?

A: Я ощущаю, что мы лишь фабрика по производству оружия.

Обновления эксплойтов: статистика Mpack

SaaS для киберпреступности

• Проверка вредоносного кода на проверку набором антивирусов

• Снижение рисков обнаружения

Ключевые партнеры

• Оптимизация и экономия в сфере производства

• Снижение риска и неопределенности

• Поставки ресурсов и совместная деятельность

• Типы партнеров

– Abuse-хостеры

– Гаранты

– Владельцы ботнетов

– Владельцы анонимных прокси

– И т.д.

Структура издержек

• Какие наиболее важные расходы предполагает бизнес-модель?

• Какие из ключевых ресурсов наиболее дороги?

• Какие ключевые виды деятельности требуют наибольших затрат?

Издержки на разработку продукта

CAPTCHA test

Структура издержек спама

Показатель Значение

Послано спама 40.000.000

Click-through ratio 0.12%

Соотношение

продаж

1/200

Всего продаж 240

Объем продаж $37440

Комиссия

спаммера

50%

Доход $18720

Показатель Значение

Хостинг $230

4 дня аренды

ботнета

$6800

Стоимость базы

e-mail

$4000

Затраты $11030

Прибыль - $7690 в неделю

Криминальный арбитраж

• Задача гаранта — быть независимым и гарантировать получение

услуг/товаров покупателем и денег продавцом

Гарант

Кардеры

Вымогатели

Спамеры

Конкуренты

Владелец ботнета

Гарант

Разработчик malware

Разработчик ExploitKit

Abuse-хостер

Упаковщик malware

Вывод денег

• Мулы (дропперы) – люди, найденные через Интернет,

используемые для снятия/обналичивания/перевода денег

– Рекрутинг на сайтах, в социальных сетях, через спам

• Мулы открывают банковские счета, а затем переводят

полученные через троянцев (например, Zeus) или вручную деньги

на указанные счеты

– Также возможно обналичивание средств, перевод средств на

мобильные телефоны, использование систем мгновенных

переводов, системы электронных платежей и т.д.

• Получают процент от перечисленных средств

– Открывают счета на свои или украденные ПДн

ФАРМАЦЕВТИЧЕСКИЙ СПАМ

Сайт My Canadian Pharmacy

My Canadian Pharmacy ориентируется на потребности

• В США запрещена безрецептурная продажа многих лекарств

– Каждый поход к врачу за рецептом стоит денег

Реальный адрес офиса My Canadian Pharmacy

• Доход от продажи плацебо или фальсифицированных лекарств

составляет не менее $100M в год

1592 Wilson Avenue

Toronto, ON M3L 1A6

Спам и фишинг для рекламы «Виагры»

• Ботнет Storm отправлял различные спамерские рассылки,

включая

– Фишинг банков

– Рекрутинг мулов (дропперов)

– Фрамацевтический спам, рекламирующий Canadian Pharmacy (до

80% всех рассылок Storm)

Связь Storm и SpamIt

Самообслуживание на Spamit.com

• Сервис Spamit.com управляет спам-доменами

– Регистрация доментов для рассылки спама, создание записей

DNS, серверов NS, Web-сайтов

– Владельцы ботнетов, используют сервис Spamit для

мониторинга сайтов и доходов от рассылки спама

• Доход фармадилеров – 40% от успешной сделки

Российский GlavMed связан с Spamit.com

GlavMed is a BEST way to convert your pharmacy traffic into real money. Forget

about miserable sums you're getting sending your visitors to PPC pharmacy.

You're loosing at least half of YOUR money converting traffic like this. GlavMed

offers you a possibility to eliminate any agents and sell most popular pharmacy

products directly. It means 30-40% revenue share.

КОГДА ВСЕ ОБЪЕДИНЯЕТСЯ

ВМЕСТЕ

Троян/ботнет Zeus

• Автор – предположительно Россия или страна бывшего СССР

• Известна с 2007-го года

– Первоначально продавался на «черном» рынке с адаптацией под

требования заказчика

• Высокий уровень модификации кода Zeus

– До несколько тысяч версий в месяц

– Доступен конструктор ботнета

– Модульная структура

• Троян работает с системами Интернет-банкинга и системами

электронных денег

– Кража ПДн, учетных записей, ключей ЭП, сертификатов,

передаваемой платежной информации

– Фишинг

• Средняя стоимость – €1.5-10K (зависит от модулей)

Zeus – одна из последних успешных бизнес-моделей

Один из сценариев заражения компьютера

Первый случай функционирования Zeus

• Казначей из Кентукки получил Zeus на свой ПК

• Злоумышленник украл реквизиты доступа и получил доступ к

банковскому счету с компьютера казначея

– Мул (дроппер) был найден на Careerbuilder.com

– Мул «заведен» как фиктивный работник

– Мул получил $9700 и послал $8700 в Украину через Western

Union

• Более 25 снятий со счета сумм <$10,000

• Общая сумма потерь $415K

– Владелец данной копии Zeus заработал 90%

– Мул заработал 10%

Конфиг Zeus – пример настройки под нужды клиента

• По умолчанию Zeus крадет все поля в формах

• Каждый контролер ботнета может быть настроен на жертву

• А могут быть и исключения

Красть отсюда

Отсюда не красть

Демонстрация ценности: популярность ZeuS

• Несколько сотен центров управления зафиксировано на ZeuS

Tracker

• Примерно 1.6M ботов в ботнетах на базе ZeuS

• 960 банков в числе жертв

• Топ5 банков США – на каждый из них нацелено около ботнетов

500 ZeuS

– По данным Cisco

• 88% компаний Fortune 500 пострадали от ZeuS

– По данным RSA

• Небольшие компании больше подвержены действиям ZeuS ввиду

отсутствия адекватных средств защиты

• Российские компании пока не так активно попадают в прицел

ZeuS

– Патриотизм?

ZeuS Tracker

Источник: ZeuS Tracker - https://zeustracker.abuse.ch/

В КАЧЕСТВЕ ЗАКЛЮЧЕНИЯ

Киберпреступники постоянно меняют бизнес-модель

• MetaQuotes занимается

разработкой ПО для

финансовых рынков

• MetaQuotes готова

платить за участие

пользователей в

облачных вычислениях

• Троян Trojan-

Downloader.Win32.MQL5M

iner.a скачивает ПО

MetaQuotes на ПК жертвы

• Деньги за участие в

вычислениях идут автору

трояна

Старые методы уже не работают

Мотивация

Метод

Фокус

Средства

Результат

Тип

Цель

Агент

Известность

Дерзко

Все равно

Вручную

Подрыв

Уникальный код

Инфраструктура

Изнутри

Деньги

Незаметно

Мишень

Автомат

Катастрофа

Tool kit

Приложения

Третье лицо

Индустрия киберпреступности похожа на ИТ

• Высокообразованные специалисты взаимодействуют между

собой для создания новых вредоносных программ

• Для управления большими проектами используются

специализированные средства разработки ПО, контроля версий и

взаимодействия разработчиков

• Разработчики вредоносных программ ничем не отличаются от

таких же в ИТ-индустрии

• Обмен информацией и талантами при совместной работе дает

гораздо больший эффект, чем работа в одиночку

• Большие заработки не оставляют надежды на самостоятельное

прекращение этого бизнеса

Что делать?

• Это уже не детские шалости и бороться в одиночку с этой

проблемой потребители не в состоянии

• Технические средства также не в состоянии решить эту проблему

– В цикле «проактивные действия – активная защита –

реагирование» технические решения направлены, как правило,

на вторую стадию

• Любой бизнес может быть прекращен или снижен его масштаб

устранив основные причины его возникновения и способы

получения прибылей

– Если удастся заблокировать перевод украденных денежных

средств, то у киберпреступников пропадут стимулы участвовать в

данной бизнес-модели

• Нужно сделать киберпреступление дорогим или опасным

– Это выбьет почву из под ног киберпреступников

Взаимодействие банков и провайдеров

• Необходимо активное взаимодействий операторов связи

(провайдеров Интернет-услуг) и банков, а также

специализированных компаний, занимающихся расследованием

преступлений и разработкой средств защиты

– Уязвимым местом в бизнес-модели является обработка

платежей за киберпреступления

• Если

– вооружить банки черными списками продавцов, использующих

спам

– убедить банки блокировать процессинг в пользу онлайн-

сервисов, запятнавших свою репутацию

• киберпреступники лишатся механизма получения доходов, а с

ними и те, кому они платят за разработку инструментания

• Но… нужна помощь государства

Необходимо участие государства и регуляторов

• Создать единую площадку для оперативного обмена

информацией о хищениях или покушении на хищения денежных

средств

• Разработать единый порядок взаимодействия операторов по

переводу денежных средств в таких инцидентах

• Разработать оперативный механизм блокирования

последующего вывода денежных средств на счета «мулов», а

также механизм возврата украденных средств

• Внести изменения в нормативно-правовые акты в части

квалификации компьютерных преступлений и определения

времени и места окончания преступления

– Необходим регламент проведения расследования таких

преступлений

• Провести обучение сотрудников правоохранительных и судебных

органов в области киберпреступлений

Дополнительная информация

• Cisco 2Q11 Global Threat Report

• Cisco 2010 Annual Threat Report

• Email Attacks: This Time It’s Personal

• Cisco Security Website

• Cisco Security Intelligence Operations

• Cisco Security Blog

• Cisco Security Facebook

• Cisco Security Twitter

В презентации использованы материалы Cisco,

Лаборатории Касперского, BlackHat, Arbor, NESTA,

SecureWorks, Trend Micro и других

Спасибо!