Firma Trend Micro opublikowała najnowsze analizy podziemnego rynku usług hostingowych. Zawierają one szczegółowe informacje o tym, jak i od kogo cyberprzestępcy dzierżawią infrastrukturę do prowadzenia swojej działalności. Raport jest pierwszym z planowanej trzyczęściowej serii publikacji. Opisano w nim rynek kupna i sprzedaży usług tego typu, stanowiących podstawę dla wszystkich pozostałych aspektów modelu biznesowego cyberprzestępców — zarówno w przypadku wysyłki spamu i komunikacji z serwerami dowodzenia i kontroli, jak i udostępniania help desku (pomocy technicznej) dla oprogramowania ransomware.
W ciągu ostatnich pięciu lat wzrosło wykorzystanie i nadużywanie zasobów do celów przestępczych, co dało początek całkiem nowemu rynkowi. Cyberprzestępcy używają do prowadzenia swojej działalności różnych typów podziemnych usług hostingowych i pokrewnych, na przykład hostingu zabezpieczonego przed organami ścigania (tzw. bulletproof hosting), wirtualnych sieci prywatnych (VPN), serwerów anonimizujących i zabezpieczeń przed atakami typu DDoS. Takie usługi służą do ochrony dostępności, zachowania anonimowości, utrudnienia pracy organom ścigania, zamaskowania lokalizacji fizycznej, podszywania się pod adresy IP itp.
„Analitycy z firmy Trend Micro od ponad dziesięciu lat nie tylko przyglądają się działalności cyberprzestępców, lecz także starają się zrozumieć ich sposób myślenia. Ma to kluczowe znaczenie dla ochrony przed ich działaniami” — powiedział Robert McArdle, dyrektor ds. badania zagrożeń w firmie Trend Micro. „Publikujemy pierwszy raport z trzyczęściowej, szczegółowej serii, poświęcony podejściu przestępców do kwestii infrastrukturalnych oraz rynkom zaspokajającym ich potrzeby w tym zakresie. Mamy nadzieję, że dostarczymy organom ścigania i innym zainteresowanym przydatne materiały, które pomogą im zwiększyć bezpieczeństwo cyfrowego świata”.
Cyberprzestępczość to bardzo profesjonalna branża, w której segmenty sprzedaży i reklamy wykorzystują sprawdzone oraz legalne techniki i platformy marketingowe. Analitycy znaleźli na przykład reklamę dedykowanych do cyberprzestępczości serwerów, które znajdują się w Stanach Zjednoczonych i są oferowane w cenie zaledwie 3 USD, przy czym cena ta wzrasta do 6 USD w przypadku opcji z gwarantowaną dostępnością przez 12 godzin. Choć wiele tych usług jest sprzedawanych na podziemnych forach, niektóre są dostępne wyłącznie dla zaproszonych, a inne są jawnie reklamowane i sprzedawane w legalnych mediach społecznościowych i na popularnych platformach komunikacji, takich jak Twitter, VK (WKontakcie) i Telegram.
Coraz trudniej jest wręcz wskazać granicę między zachowaniem przestępczym a legalną działalnością biznesową. Niektórzy dostawcy usług hostingowych mają legalnych klientów i otwarcie reklamują się w Internecie, mają też jednak partnerów handlowych, którzy sprzedają ich usługi wyłącznie środowiskom przestępczym — o czym firma macierzysta może, ale nie musi wiedzieć.
Dostawcy usług hostingowych zabezpieczonych przed organami ścigania (tzw. bulletproof hosters), którzy wyraźnie wiążą się z cyberprzestępczością, to zasadniczo zwykli dostawcy hostingu, próbujący zdywersyfikować swoją działalność pod kątem potrzeb konkretnych klientów. Za dodatkową opłatą potrafią maksymalnie nagiąć granice tego, co jest dopuszczalne, a co zabronione przez lokalne prawo.
Zrozumienie, gdzie i jak są sprzedawane te usługi oraz konsekwentne wywieranie wpływu na koszt ich sprzedaży może być najlepszym sposobem na trwałe wywarcie wpływu na podziemny rynek cyberprzestępczości. W drugiej i trzeciej części serii analitycy przyjrzą się typom podziemnych usług i infrastruktury oraz bezpieczeństwu operacyjnemu i motywacji podmiotów, które sprzedają takie usługi.
Pełną wersję pierwszego raportu można znaleźć pod adresem: https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/hacker-infrastructure-and-underground-hosting-101-where-are-cybercriminal-platforms-offered.