Компания Trend Micro, специализирующаяся на кибербезопасности, представила доклад «Монетизация киберпреступной инфраструктуры», посвященный тому, как преступники с выгодой для себя используют взломанные локальные и облачные серверы и что помогает выявить такие взломы.
Авторы исследования отмечают, что киберпреступники нередко используют не какую-то собственную инфраструктуру, а обычную инфраструктуру, взломанную ими. Некоторые сервисы торгуют взломанными сайтами, которые далее могут быть использованы злоумышленниками как целевые страницы для фишинга и т. д. Аналитики Trend Micro описывают типичное использование взломанного киберпреступниками сервера — от собственно взлома до финальной атаки — с такими возможными промежуточными пунктами, как оценка вариантов монетизации, продажа для проведения целевых кибератак и монетизация преступными способами.
В докладе говорится, что косвенным признаком, по которому можно выявить активность злоумышленников, является обнаружение операций майнинга криптовалюты с использованием инфраструктуры организации. Авторы отмечают, что киберпреступники нередко используют криптомайнинг на скомпрометированных серверах, «которые "простаивают", пока киберпреступники разрабатывают более перспективные с точки зрения заработков схемы».
«Рынок нелегального хостинга предлагает своим клиентам широкий спектр инфраструктурных решений для разного рода кампаний, включая абьюзоустойчивый хостинг, услуги анонимизации, предоставление доменных имен и предварительно скомпрометированные корпоративные ресурсы»,— рассказывает директор направления перспективного исследования угроз в Trend Micro Боб Макардл.
Это второй доклад в серии исследований, публикуемых Trend Micro и посвященных разным аспектам использования киберпреступниками интернет-услуг и инфраструктуры. Первый был представлен в июле и посвящен тому, как устроен рынок нелегальных интернет-услуг, как и где киберпреступники находят инфраструктуру для своих действий.