Компания Trend Micro Incorporated опубликовала обнаруженные ею сведения о цикле монетизации преступных действий, связанных со взломом, использованием и сдачей в аренду локальных и облачных серверов организаций. Как отмечают в компании, рынок нелегального хостинга предлагает широкий спектр инфраструктурных решений для разного рода кампаний, включая абьюзоустойчивый хостинг, услуги анонимизации, предоставление доменных имен и предварительно скомпрометированные корпоративные ресурсы. Цель Trend Micro в данном случае – повысить уровень осведомленности об инфраструктуре, которую используют киберпреступники, чтобы помочь правоохранительным органам, клиентам и другим исследователям лишить злоумышленников инструментов совершения правонарушений.

Исследователи Trend Micro выявили, в частности, что одним из сигналов для специалистов по ИТ-безопасности, говорящим об активности киберпреступников, должно стать обнаружение операций майнинга криптовалюты с использованием инфраструктуры организации. Хотя сам по себе криптомайнинг не нарушает бизнес-процессы и не приводит к финансовым потерям, ПО для него обычно используется хакерами для получения прибыли от скомпрометированных серверов организации, пока киберпреступники разрабатывают более перспективные с точки зрения заработков схемы. В их числе кража ценных данных, продажа доступа к серверам другим хакерам и подготовка к целевым атакам с использованием программ-вымогателей. Любые серверы, на которых обнаружены криптомайнеры, рекомендуется немедленно отключить от инфраструктуры и обследовать на предмет возможных противозаконных действий.

Исследователи приводят подробное описание типичного жизненного цикла скомпрометированного сервера – от первоначального взлома до финальной атаки. Как отмечают в Trend Micro, облачные серверы особенно уязвимы для компрометации и использования в инфраструктуре нелегального хостинга, так как они часто защищены хуже локальных. Киберпреступники используют уязвимости в серверном ПО, атаки методом перебора для взлома учетных данных или кражу этих учетных данных при помощи фишинга, чтобы развернуть в сети организации вредоносное ПО. Также они могут взломать ПО для управления инфраструктурой, похитив ключи облачного API, что предоставит им доступ к ресурсам и возможность создания новых виртуальных машин. После взлома доступ к этим облачным серверам обычно продают на подпольных форумах, специализированных торговых площадках и даже в социальных сетях для использования в разнообразных атаках.

В числе новых тенденций рынка нелегального хостинга эксперты отмечают взлом телефонии и спутниковой инфраструктуры, а также сдачу в аренду возможности скрытно использовать вычислительные мощности организаций, включая удаленный доступ по RDP и VNC.