Cybercrime zwarte markten: dark web services en hun prijzen

De cybercrime industrie heeft de wereld drie biljoen dollar gekost in 2015 en er wordt voorspeld dat dit bedrag tegen 2021 zal oplopen tot zes biljoen, volgens de publicatie van Cybersecurity Ventures 2018. Met kosten, bedoelen we alle kosten die zijn gemaakt in de nasleep van een incident. In een ransomware aanval bijvoorbeeld, gaat het niet alleen om de betaling van het losgeld, maar ook om alle kosten van het daaropvolgende verlies van productiviteit, verbeteringen aan het beveiligingsbeleid, investeringen in technologie en schade aan het imago van het bedrijf, om er een aantal te noemen.

Natuurlijk weten we dat cybercriminaliteit als een service niets nieuws is. De criminelen bieden hun producten of infrastructuur aan voor een prijs op de zwarte markt. Maar wat bieden ze aan en wat is hun prijs? We hebben wat tijd besteed aan het bladeren door het dark web om antwoorden op deze vragen te vinden.

Ransomware als een service

Een breed scala aan ransomware-pakketten is te koop op het dark web, net alsof het gaat om de verkoop van legale software. Updates, technische ondersteuning, toegang tot C&C-servers en een reeks betalingstermijnen zijn enkele van de aangeboden functies.

cybercrime-service-1Figuur 1: Ranion ransomware is beschikbaar op het dark web.

Een van de aangeboden ransomware-pakketten is Ranion, waarvan het betalingsmodel gebaseerd is op een maandelijks en jaarlijks abonnement. Er zijn verschillende abonnementen beschikbaar tegen verschillende prijzen, waarvan de goedkoopste 120 USD is voor slechts een maand en de duurste is 900 USD voor een jaar, wat kan oplopen tot 1900 USD als je andere functies toevoegt aan de ransomware executable.

cybercrime-service-2Figuur 2: Abonnementen die cybercriminelen aanbieden voor Ranion ransomware.

Een ander betaalmodel dat door cybercriminelen wordt gebruikt om ransomware te verkopen, is de malware en C&C-infrastructuur aanvankelijk kosteloos aan te bieden, maar vervolgens een marge te ontvangen op alle betalingen van de slachtoffers.

Welke strategie er ook wordt gebruikt, we kunnen zien dat iedereen die voor deze services wil worden gecontracteerd ook moet zorgen voor verspreiding van de malware. Met andere woorden, ze zijn verantwoordelijk om de ransomware bij slachtoffers te krijgen, bijvoorbeeld door spam e-mailcampagnes uit te voeren of door toegang te krijgen tot kwetsbare servers via RDP.

Verkoop van toegang tot servers

Er zijn verschillende services op het dark web die inloggegevens bieden die toegang geven tot servers in verschillende delen van de wereld via een Remote Desktop Protocol (RDP). De prijzen liggen tussen 8 en 15 USD per server en je kunt zoeken op land, op besturingssysteem en zelfs op welke betaalsites gebruikers toegang hebben verkregen vanaf die server.

cybercrime-service-3Figuur 3: Toegang via RDP verkopen aan servers in Colombia.

In de bovenstaande afbeelding zien we hoe een filter is toegepast om alleen servers in Colombia te tonen en dat er 250 servers beschikbaar zijn. Voor elke server zijn bepaalde details beschikbaar, die je kunt zien in de volgende afbeelding.

cybercrime-service-4Figuur 4: Gedetailleerde informatie over servertoegang op het dark web.

Na het kopen van dergelijke toegang kan een cybercrimineel het gebruiken om ransomware uit te voeren of wellicht meer discrete malware te installeren, zoals Trojans of spyware.

Het huren van de infrastructuur

Sommige criminelen die botnets of netwerken van besmette computers hebben ontwikkeld, verhuren hun computervermogen om te worden gebruikt voor het verzenden van spam e-mails of voor het lanceren van DDoS aanvallen.

Voor DDoS aanvallen varieert de prijs afhankelijk van hoe lang de aanval duurt (van 1 tot 24 uur lang) en hoeveel verkeer het botnet in die tijd kan genereren. De afbeelding hieronder toont een voorbeeld van 60 USD voor drie uur lang.

cybercrime-service-5Figuur 5: Voorbeeld van een gebruiker die zijn infrastructuur verhuurt om DDoS-aanvallen uit te voeren.

Je ziet zelfs tieners en volwassenen die hun (kleine) botnets aanbieden, meestal om servers aan te vallen die worden gebruikt door online games zoals Fortnite. Ze gebruiken sociale netwerken om zichzelf te promoten en lijken niet bezorgd om anoniem te blijven. Vaak bieden ze ook gestolen accounts aan om te verkopen.

cybercrime-service-6Figuur 6: Instagram wordt gebruikt als een platform om botnets aan te bieden.

cybercrime-service-7Figuur 7: YouTube gebruikers laten DDoS aanvallen op Fortnite servers zien.

Verkopen van PayPal en creditcard accounts

Cybercriminelen die succesvolle phishing aanvallen uitvoeren, nemen meestal niet het risico om de gestolen accounts zelf te gebruiken. Het is al rendabel genoeg en veel veiliger om de accounts door te verkopen aan andere criminelen. Zoals we in de volgende afbeelding zien, berekenen ze over het algemeen ongeveer 10% van het totale beschikbare tegoed in het gestolen account.

cybercrime-service-8Figuur 8: Verkopen van Paypal en creditcard accounts.

Sommige verkopers tonen zelfs graag de hulpmiddelen en valse sites die ze gebruiken om hun phishing activiteiten uit te voeren.

cybercrime-service-9Figuur 9 - Cybercriminelen leggen stapsgewijs uit hoe zij een phishing aanval uitvoeren.

We kunnen zien dat cybercriminelen – verborgen door middel van tools die hen een zekere mate van anonimiteit geven – een winstgevende criminele industrie hebben samengesteld, die alles omvat, van reclame en marketing tot klantenservice, updates en gebruikershandleidingen. Het is noemenswaardig dat er binnen dit criminele ecosysteem veel interne klanten zijn en dat de echte winst wordt behaald door de grote vis die al een gevestigde infrastructuur of service heeft.

Zoals ESET's Global Security Evangelist Tony Anscombe vermeldde tijdens zijn presentatie op Segurinfo 2018: "De malware-industrie is niet meer disruptief en heeft nu eigenschappen die vergelijkbaar zijn met die van een softwarebedrijf." Dit betekent dat de software, producten en diensten die worden aangeboden door cybercriminelen in deze branche nu profiteren van gevestigde processen in verkoop, marketing en distributie.