Вредоносное ПО как услуга (MaaS)

Вредоносное ПО как услуга (Malware-as-a-Service, MaaS) — бизнес-модель, в рамках которой злоумышленники за определенную плату предоставляют своим партнерам доступ к вредоносному программному обеспечению и соответствующей инфраструктуре.

MaaS представляет собой вредоносную вариацию модели SaaS (Software-as-a-Service, программное обеспечение как услуга), а также является частью модели CaaS (Cybercrime-as-a-Service, киберпреступление как услуга). Услуги типа MaaS (и в целом CaaS) обычно реализуются в даркнете.

Участники MaaS-схем

Злоумышленники, предоставляющие вредоносное ПО по модели MaaS, называются операторами MaaS. Как правило, это организованные группы, внутри которых можно выделить следующие роли: разработчики вредоносного ПО, системные администраторы, менеджеры, группа технической поддержки и т. д.

Сам сервис, который предоставляют операторы MaaS, часто называют партнерской программой, а клиента, который пользуется им, — партнером или адвертом.

Варианты оплаты услуг

Существует несколько вариантов оплаты Malware-as-a-service:

  • Единоразовая покупка вредоносного ПО.
  • Подписка на определенный срок, например месяц или год.
  • Комиссия в размере определенного процента от прибыли, например доля от выкупа в случае RaaS (Ransomware-as-a-Service, программы-вымогатели как услуга).

Какое вредоносное ПО распространяют по модели MaaS

Чаще всего злоумышленники предоставляют как услугу следующие виды вредоносного ПО:

  1. Программы-вымогатели — вредоносное ПО, блокирующее доступ к данным пользователя и требующее выкуп за его восстановление. Как правило, по модели MaaS распространяются шифровальщики — программы-вымогатели, которые шифруют данные на устройстве пользователя и требуют заплатить за расшифровку.
  2. Инфостилеры или просто стилеры — вредоносное ПО, которое собирает данные в системе пользователя и отправляет их злоумышленникам.
  3. Загрузчики — вредоносное ПО, которое загружает в систему жертвы другое вредоносное и нежелательное ПО.
  4. Бэкдоры — вредоносное ПО, которое предоставляет злоумышленникам удаленный доступ к системе пользователя.

Кроме того, модель MaaS может использоваться для «сдачи в аренду» ботнетов — сетей зараженных вредоносным ПО устройств. Эти ботнеты используются преимущественно для распространения вредоносных и нежелательных программ партнеров, например для рассылки спама или загрузки стороннего ПО на зараженные устройства, входящие в состав ботнета. DDoS-ботнеты не относятся к MaaS. Модель DDoS-as-a-Service (DDoS как услуга) описывает предоставление партнерам услуг по проведению атаки, а не вредоносного ПО.

MaaS и рост киберпреступности

Модель MaaS снижает порог вхождения в киберпреступный бизнес: поскольку операторы предоставляют партнерам готовое вредоносное ПО, инфраструктуру и поддержку, проводить атаки могут в том числе злоумышленники, не владеющие языками программирования и другими техническими навыками. Это приводит к росту киберпреступности и затрудняет атрибуцию атак, поскольку одно и то же вредоносное ПО используется в десятках разных кампаний.

Публикации на схожие темы