Привет, это команда «Шард». В этом материале расскажем, как функционирует модель RaaS в контексте криптовалют, какие приемы используют злоумышленники для атак на криптоактивы и кого они выбирают в качестве жертв.
Какие факторы обеспечили масштабируемость модели RaaS
Модель «вымогательство как услуга» (RaaS) сформировалась как организованная и стандартизированная форма киберпреступной деятельности, при которой инструменты и инфраструктура для цифрового вымогательства распространяются по коммерческому принципу среди сторонних исполнителей.
Ключевую роль в ее масштабировании сыграли криптовалюты. Их использование обеспечивает трансграничный характер операций — переводы могут осуществляться напрямую между участниками из разных стран без участия банковской системы и механизмов валютного контроля. Это существенно снижает вероятность выявления злоумышленников и упрощает процесс получения выкупа.
Не менее значимым фактором стала так называемая «сервисизация» преступной деятельности. RaaS-платформы предоставляют аффилированным пользователям полностью готовую экосистему для проведения атак: от инструкций и шифровальных программ до административных панелей и средств коммуникации с жертвами. Четкое распределение ролей между разработчиками, операторами и аффилиатами заметно снижает порог входа, позволяя участвовать в атаках даже лицам с минимальным уровнем технической подготовки, используя готовые сценарии и инструментарий.
При этом, несмотря на внешнюю технологическую организованность, деятельность в рамках RaaS квалифицируется как серьезное уголовное преступление и влечет за собой суровые наказания в различных юрисдикциях. Показателен случай участника группировки NetWalker — Вашона Дежардена. В 2021 году федеральный суд США приговорил его к 20 годам лишения свободы за участие в кибератаках с применением шифровальщика и вымогательство криптовалюты. В ходе обыска у него были обнаружены значительные суммы наличных средств и сотни биткоинов. Согласно материалам следствия, группа причастна к атакам примерно на 400 организаций, включая коммерческие и государственные структуры.
Какую роль криптовалюты играют в RaaS
На ранних этапах функционирования RaaS расчеты преимущественно осуществлялись в биткоинах, что объяснялось их высокой ликвидностью и удобством конвертации. Однако со временем уровень анонимности таких транзакций существенно снизился из-за развития инструментов анализа блокчейна. Поскольку все операции фиксируются в открытом реестре, специалисты могут сопоставлять криптокошельки с конкретными пользователями, используя данные криптобирж, процедуры KYC и анализ поведенческих паттернов. Современные аналитические решения позволяют выявлять взаимосвязанные адреса и отслеживать перемещение средств, что уже неоднократно приводило к раскрытию участников киберпреступных схем правоохранительными органами.
В ответ на усиление контроля злоумышленники стали переходить на криптовалюты с повышенной приватностью, такие как Monero. Ее архитектура скрывает как участников транзакций, так и суммы переводов, обеспечивая значительно более высокий уровень конфиденциальности и затрудняя отслеживание финансовых потоков.
Внутри криптовалютной экосистемы RaaS все чаще функционирует по принципу сервисной модели, напоминающей подписку. Операторы платформ предоставляют аффилированным участникам готовые инструменты: программы для шифрования данных, интерфейсы управления атаками, инструкции по взаимодействию с жертвами и механизмы распределения доходов. При этом доля аффилиатов может достигать до 90% от выкупа, что дополнительно снижает порог входа и усиливает коммерциализацию этой деятельности. Несмотря на прозрачность распределения средств в блокчейне, конечные исполнители нередко остаются анонимными.
Дополнительно формируются новые форматы платформ, включая решения на базе NFT. В таких системах токен фактически выполняет роль пропуска в закрытую инфраструктуру — он подтверждает право доступа к инструментам, знаниям и сообществу. Подобные механизмы способствуют формированию замкнутых цифровых экосистем, внутри которых осуществляется координация противоправной деятельности.
Какими способами RaaS применяется для атак на криптовалютные активы
Атаки на криптовалютные активы с использованием модели RaaS можно условно разделить на три ключевые категории, каждая из которых ориентирована на извлечение финансовой выгоды разными методами:
- Первая категория — это вирусы-шифровальщики. Они блокируют доступ к данным или полностью их шифруют, требуя выкуп за восстановление работоспособности систем. К числу наиболее известных примеров относятся Ryuk, LockBit, RansomHub и Play.
- Вторая категория — так называемые блокировщики. В отличие от шифровальщиков, они не повреждают данные напрямую, а ограничивают доступ к устройству или интерфейсу, оказывая психологическое давление на пользователя. Среди примеров можно выделить Medusa, VanHelsing и DragonForce.
- Третья категория включает специализированные вредоносные программы класса stealer. Они нацелены на кражу критически важной информации (приватных ключей и seed-фраз), извлекая ее из браузеров, расширений, cookie-файлов или поддельных версий криптокошельков. Среди таких инструментов — Lumma Stealer, Myth Stealer и Cold River.
Дополнительно эффективность подобных атак усиливается за счет методов социальной инженерии. Злоумышленники активно используют поддельные коммуникации, включая фальшивые видеозвонки с применением deepfake-технологий, фиктивные предложения о работе, зараженные скрипты и имитацию легитимных сервисов. Это формирует у жертвы ложное чувство доверия и нередко приводит к самостоятельному запуску вредоносного ПО.
Как минимизировать угрозы для криптоактивов
Снижение рисков атак, реализуемых через модель RaaS, во многом зависит от грамотной защиты криптовалютных активов, прежде всего — приватных ключей и цифровых кошельков. Одним из наиболее надежных решений считается использование аппаратных кошельков, которые хранят ключи в изолированной среде и тем самым практически исключают возможность удаленного доступа со стороны злоумышленников. Для долгосрочного хранения значительных сумм целесообразно применять холодные кошельки, тогда как для повседневных операций и торговли рекомендуется держать на горячих кошельках лишь ограниченный объем средств.
Важным элементом защиты остается своевременное обновление программного обеспечения — операционных систем, приложений и криптовалютных кошельков. Регулярные обновления устраняют известные уязвимости, которые часто используются вредоносным ПО для проникновения в систему.
Наряду с техническими мерами критическую роль играет пользовательская осторожность. Следует внимательно относиться к любым подозрительным сообщениям, ссылкам и письмам, избегать взаимодействия с непроверенными источниками и сервисами. Дополнительную защиту обеспечивают регулярная проверка настроек безопасности, использование двухфакторной аутентификации и осознанное поведение в цифровой среде. В совокупности эти меры значительно уменьшают вероятность успешной атаки.
В заключение
Эффективность RaaS во многом определяется не только технологическими инструментами, но и точечным выбором жертв. Злоумышленники опираются на данные из утечек, фишинговых кампаний и открытых источников, включая социальные сети, чтобы выявить наиболее уязвимые и финансово привлекательные объекты. В первую очередь под удар попадают организации с критически важной инфраструктурой и значительными цифровыми активами, поскольку потенциальный ущерб от сбоев повышает вероятность выплаты выкупа.
При этом риску подвержены и частные инвесторы, особенно те, кто публично демонстрирует владение крупными криптоактивами. В таких случаях атаки становятся более персонализированными и могут сочетать технические методы с социальной инженерией.
Узнавайте больше о мире криптовалют в нашем блоге.
Присоединяйтесь к Телеграм-каналу, чтобы не пропустить важные новости индустрии.