Этот сервис помогает авторам вредоносных программ исправить ошибки в их коде

Предупреждение: Вся информация представлена исключительно в образовательных целях.

Почти ежедневно появляются новости о недостатках в коммерческом программном обеспечении, которые приводят к тому, что компьютеры подвергаются взлому и заражению вредоносным ПО. Но реальность такова, что большинство вредоносных программ также имеют свою долю дыр в безопасности, которые открывают двери для исследователей в области безопасности.

Вот один из долгоживущих сервисов тестирования уязвимостей вредоносного ПО, который используется и работает некоторыми из ведущих киберпреступников в  Dark Web.

Нередки случаи, когда мошенники продают предложения типа «вредоносное ПО как услуга», такие как программы «троянских коней» и панели управления бот-сетями, для включения в свои продукты бэкдоров, которые позволяют им тайно контролировать операции своих клиентов и скачивать данные, украденные у жертв. Однако чаще всего люди, пишущие вредоносные программы, просто делают ошибки кодирования, которые делают их творения уязвимыми для компрометации.

В то же время, компании по обеспечению безопасности постоянно ищут вредоносный код на наличие уязвимостей, которые могут позволить им проникнуть внутрь операций криминальных сетей или вырвать контроль над этими операциями у злоумышленников.

Существует не так много публичных примеров этой деятельности по борьбе с вредоносным ПО, отчасти потому, что она попадает в юридически мутные воды. Что еще более важно, публичное обсуждение этих недостатков, как правило, является самым быстрым способом заставить авторов вредоносных программ исправить любые уязвимости в их коде.

Войдите в службы тестирования вредоносных программ, такие как «RedBear» Администратор русскоязычного сайта безопасности под названием Krober [.] Biz, который часто пишет о слабых местах в безопасности популярных вредоносных программ.

По большей части, уязвимости, описанные Krober, не написаны, пока они не исправлены автором вредоносного ПО, который заранее заплатил небольшую плату за проверку кода, которая обещает разоблачить любые бэкдоры и / или укрепить безопасность продукта клиента.

Сервис RedBear продается не только создателям вредоносных программ, но и людям, которые арендуют или покупают вредоносные программы и услуги у других киберпреступников. Главный пункт продажи этой услуги - то, что мошенники - мошенники, вы просто не можете доверять им, чтобы быть полностью спокойными.

«Мы можем проверить ваш (или не совсем ваш) код PHP на наличие уязвимостей и бэкдоров», - говорится в его предложении на нескольких известных российских форумах по киберпреступности. «Возможные варианты включают, например, панели администратора ботов, панели ввода кода, панели управления оболочкой, анализаторы платежных карт, службы направления трафика, службы обмена, программное обеспечение для рассылки спама, генераторы бэкдоров, мощенничество и т.д. »

В доказательство эффективности своей службы RedBear указывает почти на дюжину статей о бизнесе Krober [.], В которых подробно объясняются недостатки, обнаруженные в высококлассных вредоносных инструментах, авторы которых использовали его службу в прошлом, в том числе; панель администрирования бота Black Energy DDoS;

панели загрузки вредоносных программ, привязанные к загрузчикам Smoke и Andromeda; трояны RMS и Spyadmin; и популярный сценарий сканирования кредита.

RedBear не использует этот сервис самостоятельно. За эти годы у него было несколько партнеров по проекту, в том числе два очень известных киберпреступника (или, возможно, только один, как мы увидим через мгновение) кто до недавнего времени действовал под псевдонимами хакеров «upO» и «Lebron».

В период с 2013 по 2016 год upO был главным игроком на Exploit [.] In - одном из самых активных и почитаемых русскоязычных форумов по киберпреступности в подполье - он написал почти 1500 сообщений на форуме и создал около 80 тем,

в основном фокусируется на вредоносных программах. В течение примерно одного года, начиная с 2016 года, Леброн был главным модератором эксплойта.

В 2016 году несколько участников начали обвинять О в краже исходного кода из рассматриваемых вредоносных проектов, а затем якобы использовать или включать фрагменты кода в вредоносные проекты, которые он продавал другим.

up0 в конечном итоге будет заблокирован из Exploit за то, что вступил в спор с другим топовым участником форума, при этом оба обвинили друг друга в работе на или с российскими и / или украинскими федеральными властями и приступили к публикации личной информации.

Впервые Леброн появился в Exploit в сентябре 2016 года, примерно за два месяца до того, как upO был изгнан из сообщества. Проработав почти год на форуме, создавая сотни постов и тем (включая многие статьи, впервые опубликованные на Кробере), Леброн внезапно исчез из Эксплойта.

Его уходу предшествовала серия все более наглых обвинений участников форума в том, что Леброн просто взялся за использование другого псевдонима. Его последняя статья о Exploit в мае 2017 года несколько шутливо указала, что он присоединяется к новой партнерской программе вымогателей.

RANSOMWARE DREAMS

Согласно исследованию фирмы Intel 471, занимающейся кибернетической разведкой, upO проявлял большой интерес к вымогателям и сотрудничал с разработчиком штамма вымогателей Cerber, партнерской программы, действующей в период с февраля 2016 года по июль 2017 года, которая стремилась загнать в тупик все более прибыльный и конкурентный рынок предложений вымогателей как услуга.

Intel 471 говорит, что ходят слухи о Exploit и других форумах, которые часто посещают, что он был вдохновителем GandCrab, еще одной партнерской программы по вымогательству как услуге, которая впервые появилась в январе 2018 года, а затем хвасталась о вымогательстве миллиардов долларов у взломанных компаний. когда он закрыл магазин в июне 2019 года.

Многочисленные компании и исследователи в области безопасности (включая этого автора) пришли к выводу, что GandCrab точно не ушел, а вместо этого переименовал его в более эксклюзивное предложение «вымогателей как услуга», получившее название «REvil» (также известное как «Sodin» и « Sodinokibi»). REvil был впервые обнаружен в апреле 2019 года после установки обновления GandCrab, но его партнерская программа не набирала обороты до июля 2019 года.

В прошлом месяце публичное лицо партнерской программы REvil Ransomware - киберпреступник, который зарегистрировался в Exploit в июле 2019 года под ником «UNKN» (a.k.a. «Неизвестно») - он оказался целью схемы шантажа, публично объявленной другим участником форума, который утверждал, что помогал финансировать бизнес по вымогательству UNKN еще в 2016 году, но  отказался от участия в форуме из-за проблем с законом.

Этот человек, используя прозвище «Vivalamuerte», сказал, что UNKN все еще должен ему инвестиционные деньги, которые он рассчитывал, составили примерно 190 000 долларов. Вивальамерте сказал, что он опубликует личные данные, раскрывающие реальную личность UNKN, если ему не заплатят то, что, как он утверждает, он должен.

Вивальамерте также заявил, что UNKN использовал четыре разных псевдонима, и что прозвище, с которым он общался в 2016 году, началось с буквы «L.

Полное прозвище обвиняемого, вероятно, было отредактировано администраторами форума, потому что поиск на форуме «Леброн» вызывает тот же пост, даже если он не виден ни в одном из угрожающих сообщений Вивальамерте.

Получив сообщение от KrebsOnSecurity, Вивальамерте отказался поделиться тем, что он знал о UNKN, заявив, что этот вопрос все еще находится в арбитраже.

Но он сказал, что у него есть доказательства того, что Леброн был основным программистом GandCrab Ransomware, и что человек, стоящий за идентификацией Lebron, играет центральную роль в вымогательском предприятии REvil Ransomware.