Вслед за партнерскими сетями вредоносная ахиллесова пята

На конференции RSA много говорилось о партнерских сетях, то есть о людях и компаниях, которые сознательно или неосознанно помогают распространять вредоносное ПО, создают бот-сети и делают гнусные действия возможными и прибыльными для людей, осуществляющих эти попытки. Хотя эти филиалы помогли сделать вредоносные программы более опасными, они также могут стать ключом к отключению плохих парней.

Многие люди, вероятно, предполагают, что за действия, связанные с вредоносными программами, несут ответственность за создание и распространение этих данных среди жертв. Однако, это не так. Взяв страницу от таких организаций, как Amway, создатели вредоносных программ на самом деле нанимают людей, чтобы распространять их для них, используя фишинг-мошенничество, вредоносную рекламу или другие способы. Филиалы также могут быть внештатными переводчиками или компаниями, занимающимися обработкой кредитных карт, которые неосознанно помогают в киберпреступности.

Что делают филиалы

Партнерские сети могут принимать различные формы и, по всей видимости, берут начало от «поддельных AV» примерно с 2008 года. Старший советник Sophos по безопасности Честер Вишневски объяснил, как с создателями поддельных AV заручились поддержкой законных подрядчиков и компаний, чтобы помочь в производстве их опасного продукта. «Это должно было выглядеть профессионально», - сказал он, имея в виду графический дизайн поддельных AV-продуктов. «И его нужно было покупать так же, как вы покупаете настоящий AV».

В партнерской сетевой игре деньги могут быть довольно хорошими. По словам стратега безопасности Fortinet Ричарда Хендерсона (Richard Henderson), чья компания занимается ботнетами и операциями с киберпреступностью, некоторые аффилированные лица зарабатывали 0, 10 доллара США на каждую инфекцию. Эта цифра, как сообщается, выросла до 0, 50 долл. США за инфекцию. Он процитировал недавнюю атаку Citadel со стороны NBC.com, когда реклама загружала вредоносное ПО на компьютеры пользователей. Он подсчитал, что при консервативных 75 000-100 000 инфекциях для филиала «это приносит 50 000 долларов за несколько часов работы».

Ссылаясь на недавние атаки с использованием вымогателей, которые заставляют жертв платить злоумышленникам после захвата контроля над их компьютерами, Вишневский сказал, что Sophos подозревает, что создатели вредоносных программ зашли настолько далеко, что привлекут профессиональных переводчиков, чтобы лучше локализовать свои атаки. В отличие от многих фишинговых писем, он сказал, что эти атаки имели почти идеальную грамматику на родном языке цели.

В дополнение к распространению вредоносных программ, филиалы также затрудняют остановку. С одной стороны, партнеры добавляют слой между создателями вредоносных программ и ботнетов и теми, кто пытается их остановить. С другой стороны, это делает атаки вредоносных программ менее общими. «Поскольку они выполняют свою работу, есть разные виды социальной инженерии, другая атака», - пояснил Хендерсон. Таким образом, вместо того, чтобы создавать вредоносное ПО для создания бот-сетей с одним и тем же фишинговым сообщением, различные филиалы могут попробовать загрузку, вредоносную рекламу или другой вектор.

Борьба назад

В то время как филиалы делают бизнес безопасности намного, намного сложнее, они также предоставляют средства, чтобы остановить злоумышленников. Поскольку многим филиалам платят за их работу, правоохранительные органы могут сделать эту работу неэкономичной. Почти каждый эксперт по безопасности, с которым я разговаривал в RSA, согласился с тем, что отсечение денег может значительно сократить злоумышленную деятельность.

Вишневский из Sophos рассказал, как в случае с Fake AV компании, выпускающие кредитные карты, были убеждены прекратить обработку платежей и тем самым отстранить создателей вредоносного ПО от его денежной массы. «Некоторое время VISA была единственной, - сказал он. «Так же, как на Олимпиаде», имея в виду, что VISA была единственной картой, принятой на международных играх.

Конечно, усилия по превращению партнерских сетей в неэкономичный маршрут требуют сотрудничества между охранными компаниями, правоохранительными органами, а иногда и самими филиалами. К счастью, многие из поставщиков и экспертов, с которыми я общался в RSA, сказали, что обмен информацией никогда не был лучше.

Будьте в курсе всех наших публикаций от RSA!