Cyberprzestępczość na abonament – jak działa rynek MaaS i RaaS

Cyberprzestępczość jak każda inna branża usługowa

Jeszcze 15 lat temu przeprowadzenie skutecznego cyberataku wymagało zaawansowanej wiedzy z zakresu programowania, sieci komputerowych i kryptografii. Dziś wystarczy znaleźć odpowiednie forum w dark webie, wybrać narzędzie z katalogu i zapłacić w kryptowalucie. Malware-as-a-Service (MaaS) to ekosystem, w którym wyspecjalizowani programiści tworzą gotowe narzędzia do ataków i udostępniają je innym przestępcom – zupełnie jak legalne aplikacje SaaS, tyle że służące do popełniania przestępstw.

W tym modelu każdy uczestnik ma ściśle określoną rolę. Twórcy złośliwego oprogramowania (ang. developers) piszą kod, aktualizują malware i prowadzą support techniczny dla swoich klientów. Affiliaci kupują dostęp do tych narzędzi i przeprowadzają ataki na konkretne firmy. Initial Access Brokers (IAB) specjalizują się w zdobywaniu dostępów do sieci firmowych i sprzedają je innym grupom. Cały ekosystem ma własne fora dyskusyjne, recenzje produktów i programy lojalnościowe – perfekcyjnie naśladując struktury legalnego biznesu SaaS.

Skala tego zjawiska jest ogromna. Według analiz IBM X-Force Threat Intelligence zdecydowana większość ataków ransomware na świecie przeprowadzana jest przy użyciu modelu RaaS, a całościowe przychody branży cyberprzestępczej przekraczają biliony dolarów rocznie – więcej niż globalny handel narkotykami.

Modele as-a-service – co kupują cyberprzestępcy

Ekosystem MaaS obejmuje kilka wyspecjalizowanych modeli, z których każdy odpowiada na inne potrzeby atakujących:

• RaaS (Ransomware-as-a-Service) – najbardziej znany model. Twórcy ransomware udostępniają gotowy malware, panel zarządzania ofiarami i infrastrukturę płatności kryptowalutowych. Affiliaci płacą abonament lub oddają 20–30% każdego uzyskanego okupu. Grupy takie jak LockBit, ALPHV/BlackCat czy Cl0p działały właśnie w tym modelu.
• PhaaS (Phishing-as-a-Service) – gotowe zestawy do phishingu: strony podszywające się pod banki, Microsoft 365 i serwisy kurierskie, szablony e-maili, infrastruktura do zbierania danych ofiar. Platformy takie jak EvilProxy czy Tycoon 2FA obsłużyły tysiące ataków, zanim zostały zlikwidowane przez organy ścigania.
• DDoSaaS (Booter services) – usługi umożliwiające zasypanie firmy ruchem sieciowym w celu jej unieruchomienia. Dostępne od kilku dolarów za godzinę ataku, bez żadnych umiejętności technicznych po stronie zamawiającego.
• IAB (Initial Access Brokers) – brokerzy sprzedający wcześniej zdobyte dostępy do sieci firmowych. Ceny wahają się od kilkuset do kilkudziesięciu tysięcy dolarów, zależnie od wartości firmy-ofiary i rodzaju posiadanego dostępu.
• Stealer-as-a-Service – narzędzia do automatycznej kradzieży haseł, plików cookie i sesji przeglądarek. Popularne stealery jak RedLine, Lumma czy Raccoon dostępne są w miesięcznym abonamencie od 100–200 dolarów.

Jak wygląda atak kupiony z katalogu – przykładowy scenariusz

Żeby zrozumieć, jak bardzo rynek MaaS obniżył barierę wejścia w cyberprzestępczość, warto prześledzić typowy scenariusz ataku RaaS wymierzonego w małą firmę produkcyjną lub usługową:

1. Zakup dostępu: Przestępca (affiliate) kupuje na forum dark web uwierzytelniony dostęp do sieci konkretnej firmy od Initial Access Brokera. Koszt: 500–2000 dolarów w kryptowalucie.
2. Rozpoznanie: Używając gotowych narzędzi z panelu RaaS, mapuje sieć, identyfikuje serwery z danymi i lokalizuje systemy backupu – wszystko, co powinno zostać zaszyfrowane lub zniszczone.
3. Eksfiltracja danych: Przed uruchomieniem szyfrowania wyciąga kopię wrażliwych plików. To podstawa tzw. double extortion – podwójnego wymuszenia: okup za odszyfrowanie i za nieujawnienie skradzionych danych.
4. Wdrożenie ransomware: Pobiera najnowszą wersję złośliwego oprogramowania z panelu, konfiguruje treść żądania okupu i uruchamia szyfrowanie. Aktywna faza ataku trwa często zaledwie kilka godzin.
5. Automatyczne rozliczenie: Jeśli ofiara płaci, platforma RaaS automatycznie rozdziela środki – operator grupy otrzymuje swoją prowizję, reszta trafia do affiliata.

Co kluczowe – affiliate mógł nie napisać ani jednej linii kodu. Kupił dostęp, użył gotowego narzędzia i zarobił. Cyberprzestępczość stała się usługą dostępną dla każdego chętnego, kto gotowy jest złamać prawo.

Dlaczego MŚP są ulubionym celem operatorów MaaS

Duże korporacje mają rozbudowane działy bezpieczeństwa, dedykowane centra operacji bezpieczeństwa (SOC) i budżety na cyberochronę. Małe i średnie firmy są dla operatorów MaaS znacznie łatwiejszym i bardziej przewidywalnym celem:

• Słabsza ochrona techniczna: Większość MŚP nie ma profesjonalnego monitoringu bezpieczeństwa, a systemy bywają miesiącami bez aktualizacji. Dla Initial Access Brokerów to gotowe wektory wejścia, które można wystawić na sprzedaż.
• Realna wartość przechowywanych danych: Małe firmy gromadzą cenne informacje – bazy klientów, plany produkcyjne, dane finansowe, faktury. Dane te mają wartość zarówno dla szantażu, jak i odsprzedaży czy szpiegostwa przemysłowego.
• Większa skłonność do zapłaty okupu: Firma bez sprawnego backupu, stojąca w obliczu całkowitego przestoju operacyjnego, często decyduje się zapłacić. Dla operatora RaaS to przewidywalny i szybki zysk.
• Masowe, zautomatyzowane targetowanie: Narzędzia MaaS skanują dziesiątki tysięcy sieci dziennie w poszukiwaniu znanych podatności. Nikt nie wybiera ręcznie Twojej firmy – wpadasz w sieć automatycznego skanera, który znajdzie niezałataną lukę lub słabe hasło VPN.
• Tendencja do przemilczania incydentów: MŚP często woli zapłacić i milczeć, niż zgłaszać atak organom ścigania i ryzykować utratą reputacji. To zachęca do kolejnych ataków na podobne firmy.

Raport Verizon Data Breach Investigations wskazuje, że niemal połowa wszystkich naruszeń danych dotyczy firm zatrudniających mniej niż 1000 osób. To nie przypadek – to bezpośredni efekt skalowanego, zautomatyzowanego ekosystemu MaaS działającego 24 godziny na dobę, 365 dni w roku.

Jak bronić firmę – praktyczny plan obrony przed MaaS

Skoro cyberprzestępczość stała się produktem dostępnym na zamówienie, obrona musi być równie systematyczna i wielowarstwowa. Oto kluczowe działania dla każdego MŚP:

• Wielowarstwowy backup (zasada 3-2-1): Trzy kopie danych, dwa różne nośniki, jedna kopia poza siedzibą lub w izolowanej chmurze. Regularnie testuj odtwarzanie – operatorzy RaaS jako pierwsze szyfrują lub usuwają dostępne kopie zapasowe.
• Systematyczne łatanie podatności: Większość Initial Access Brokerów korzysta ze znanych, niezałatanych luk (CVE). Bieżące aktualizacje systemów i oprogramowania to pierwsza i najtańsza linia obrony.
• MFA na wszystkich krytycznych kontach: Skradzione hasło bez drugiego składnika uwierzytelniania jest dla stealera bezużyteczne. Priorytet: konta VPN, poczta firmowa, panele administracyjne, Microsoft 365.
• EDR zamiast tradycyjnego antywirusa: Narzędzia klasy EDR wykrywają zachowania charakterystyczne dla ransomware (masowe szyfrowanie plików, lateralne przemieszczanie się w sieci) zanim dojdzie do nieodwracalnych strat danych.
• Segmentacja sieci: Izoluj serwery backupu i systemy krytyczne od reszty sieci. Ogranicza to zasięg ewentualnego ataku, który dostanie się przez stację roboczą pracownika.
• Szkolenia pracowników: PhaaS sprawia, że kampanie phishingowe są tanie i wysoce personalizowane. Regularne szkolenia i symulowane ataki phishingowe znacząco redukują ryzyko skutecznego wejścia do sieci przez czynnik ludzki.
• Plan reagowania na incydenty: Wiedz z wyprzedzeniem, co robić gdy atak nastąpi – kogo powiadomić, które systemy odizolować, skąd i jak odtwarzać dane oraz jak zgłosić incydent do CERT Polska.

Jeśli nie wiesz, od czego zacząć, audyt bezpieczeństwa IT pozwoli zidentyfikować luki, które mogłyby zostać wystawione przez IAB jako gotowy dostęp do Twojej sieci. Skontaktuj się z NovaSys – pomożemy ocenić stan zabezpieczeń i wdrożyć skuteczną ochronę, zanim Twoja firma trafi do katalogu cyberprzestępców.