Crypto drainers, вредоносное ПО, предназначенное для кражи криптовалюты, стали более доступными по мере развития экосистемы в бизнес-модель «программное обеспечение как услуга» (SaaS).
В отчете от 22 апреля фирма по крипто-криминологии и комплаенса AMLBot раскрыла, что многие операции drainers перешли на модель SaaS, известную как drainer-as-a-service (DaaS). В отчете говорится, что распространители вредоносного ПО могут арендовать drainer всего за 100–300 USDt (USDT).
Генеральный директор AMLBot Слава Демчук рассказал Cointelegraph, что «ранее для входа в мир криптовалютных мошенничеств требовалось значительное количество технических знаний». Это больше не так. В рамках модели DaaS «начать значительно не сложнее, чем с других видов киберпреступлений».
Демчук объяснил, что потенциальные пользователи drainers присоединяются к онлайн-сообществам, чтобы учиться у опытных мошенников, которые предоставляют руководства и учебные пособия. Именно так многие преступники, вовлеченные в традиционные фишинговые кампании, переходят в сферу crypto drainers.
Киберпреступность в России — почти законна
Группы, предлагающие crypto drainers как услугу, становятся все более смелыми, и некоторые из них развиваются почти как традиционные бизнес-модели, - добавил Демчук, отметив:
«Интересно, что некоторые группы drainers стали настолько смелыми и профессионализированными, что даже устанавливают стенды на отраслевых конференциях — CryptoGrab является одним из таких примеров».
На вопрос о том, как криминальной операции удается отправлять представителей на мероприятия IT-индустрии без каких-либо последствий, такие как аресты, он указал на российское правоприменение в сфере киберпреступлений. «Это все можно делать в юрисдикциях, таких как Россия, где взлом теперь, по сути, легализован, если вы не действуете на постсоветском пространстве», - сказал он.
Эта практика является открытой тайной в индустрии кибербезопасности уже много лет. Издание новостей о кибербезопасности KrebsOnSecurity сообщило в 2021 году, что «практически все штаммы программ-вымогателей» деактивируются без нанесения вреда, если они обнаруживают установленные русские виртуальные клавиатуры.
Традиционно этот вид бизнеса велся на специализированных форумах clearnet и deep web форумах, доступных через сеть Tor. Тем не менее, следователь сказал, что большая часть контента переехала в Telegram благодаря его политике против обмена данными с властями. Это изменилось после ареста генерального директора Telegram Павла Дурова:
«Как только Telegram объявил, что будет передавать данные, то начало повторного оттока в Tor, потому что там легче защитить себя».
Тем не менее, это является проблемой для киберпреступников, которая может больше не быть актуальной. На этой неделе Дуров выразил обеспокоенность растущей угрозой для личных сообщений во Франции и других странах Европейского Союза, предупредив, что Telegram предпочтет покинуть определенные рынки, чем внедрять бэкдоры шифрования, которые подрывают конфиденциальность пользователей.
