Af Eskil Sørensen, 17/11/21
Ransomware-bander er nu rige nok til at købe 0-dagsfejl på darkweb-fora. Det skriver ZDNet i en længere artikel på baggrund af en analyse fra virksomheden Digital Shadows. Analysen bygger på observationer af, at der i stigende grad snakkes om 0-dage på opslagstavler på Dark Web.
ZDNet skriver, at handel med 0-dagssårbarheder hidtil har været et område for statsstøttede cyberkriminelle grupperinger, men nu konkluderes det, at uafhængige kriminelle bander efterhånden er blevet så formuende, at de selv har midlerne til at købe 0-dage. Køberne skulle angiveligt være ransomwaregrupper, der blandt andet anvender viden om sårbarheder og udnyttelser til at sprede ransomware hos deres ofre.
Rentabel investering
I det hele taget er viden om sårbarheder en stor ting på Dark Webs handelsplatforme, hvilket forsøges imødegået med softwarevirksomhedernes bug bounty-programmer. Her belønnes researchere for at have fundet sårbarheder og overdraget viden om exploits til virksomhederne mod at få dusør; det er det, der i fagsproget kaldes for responsible disclosure, som både kan være honoreret eller ulønnet.
For andre sikkerhedsresearchere kan alternativet til responsible disclosure være en for stor fristelse. Nemlig at sætte dem til salg på Dark Web og score gevinsten, sandsynligvis for en højere pris end bug bounty-programmerne tilbyder.
Viden om udnyttelser er typiske meget rentabelt for cyberkriminelle, især hvis der er tale om 0-dages sårbarheder. Digital Shadows beskriver, hvordan 0-dagsmarkedet er ’ekstremt dyrt og konkurrencedygtigt’, og der nævnes priser på sårbarheder på millioner af dollars. På den anden side vil en succesfuld ransomware-gruppe nemt kunne tjene investeringen hjem, hvis sårbarheden kan udnyttes efter hensigten.
Leas en sårbarhed
ZDNet beskriver også en anden metode til at tjene penge på sårbarheder, nemlig ’exploit-as-a-service’. Her vil en 0-dagsudvikler kunne lease den ud til andre, hvilket giver en hurtigere indtjening, end hvis man går igennem en salgsproces, der ofte kan være mere kompleks. Det kan også gøre det muligt for 0-dagsudviklere at generere indtjening ved at leje 0-dagen ud, mens de venter på en endelig køber. Derudover vil lejere kunne teste den foreslåede 0-dag og senere beslutte, om de vil købe udnyttelsen på et eksklusivt eller ikke-eksklusivt grundlag.
Ifølge ZDNet er salg til statsstøttede hackergrupper stadig den foretrukne mulighed for nogle 0-dagsudviklere i øjeblikket, men en voksende interesse for udnyttelser på underjordiske fora indikerer, hvordan nogle cyberkriminelle grupper nærmer sig niveauet for statsstøttede operationer.
’Opblomstringen af exploit-as-a-service-forretningsmodellen bekræfter, at det cyberkriminelle miljø konsekvent vokser både ift. til sofistikerede metoder og professionalisering. Nogle højtprofilerede kriminelle grupper kan nu konkurrere med hensyn til tekniske færdigheder med statssponserede aktører', hedder det i rapporten ifølge ZDNet .