Вредоносное ПО как услуга (Malware-as-a-Service, MaaS) — бизнес-модель, в рамках которой злоумышленники за определенную плату предоставляют своим партнерам доступ к вредоносному программному обеспечению и соответствующей инфраструктуре.
MaaS представляет собой вредоносную вариацию модели SaaS (Software-as-a-Service, программное обеспечение как услуга), а также является частью модели CaaS (Cybercrime-as-a-Service, киберпреступление как услуга). Услуги типа MaaS (и в целом CaaS) обычно реализуются в даркнете.
Участники MaaS-схем
Злоумышленники, предоставляющие вредоносное ПО по модели MaaS, называются операторами MaaS. Как правило, это организованные группы, внутри которых можно выделить следующие роли: разработчики вредоносного ПО, системные администраторы, менеджеры, группа технической поддержки и т. д.
Сам сервис, который предоставляют операторы MaaS, часто называют партнерской программой, а клиента, который пользуется им, — партнером или адвертом.
Варианты оплаты услуг
Существует несколько вариантов оплаты Malware-as-a-service:
- Единоразовая покупка вредоносного ПО.
- Подписка на определенный срок, например месяц или год.
- Комиссия в размере определенного процента от прибыли, например доля от выкупа в случае RaaS (Ransomware-as-a-Service, программы-вымогатели как услуга).
Какое вредоносное ПО распространяют по модели MaaS
Чаще всего злоумышленники предоставляют как услугу следующие виды вредоносного ПО:
- Программы-вымогатели — вредоносное ПО, блокирующее доступ к данным пользователя и требующее выкуп за его восстановление. Как правило, по модели MaaS распространяются шифровальщики — программы-вымогатели, которые шифруют данные на устройстве пользователя и требуют заплатить за расшифровку.
- Инфостилеры или просто стилеры — вредоносное ПО, которое собирает данные в системе пользователя и отправляет их злоумышленникам.
- Загрузчики — вредоносное ПО, которое загружает в систему жертвы другое вредоносное и нежелательное ПО.
- Бэкдоры — вредоносное ПО, которое предоставляет злоумышленникам удаленный доступ к системе пользователя.
Кроме того, модель MaaS может использоваться для «сдачи в аренду» ботнетов — сетей зараженных вредоносным ПО устройств. Эти ботнеты используются преимущественно для распространения вредоносных и нежелательных программ партнеров, например для рассылки спама или загрузки стороннего ПО на зараженные устройства, входящие в состав ботнета. DDoS-ботнеты не относятся к MaaS. Модель DDoS-as-a-Service (DDoS как услуга) описывает предоставление партнерам услуг по проведению атаки, а не вредоносного ПО.
MaaS и рост киберпреступности
Модель MaaS снижает порог вхождения в киберпреступный бизнес: поскольку операторы предоставляют партнерам готовое вредоносное ПО, инфраструктуру и поддержку, проводить атаки могут в том числе злоумышленники, не владеющие языками программирования и другими техническими навыками. Это приводит к росту киберпреступности и затрудняет атрибуцию атак, поскольку одно и то же вредоносное ПО используется в десятках разных кампаний.