Αν και συνήθως κρύβονται σε ιδιωτικές συνομιλίες, μερικές φορές εμφανίζονται λεπτομέρειες σχετικά με την παράλληλη οικονομία των vulnerability exploits σε υπόγεια φόρουμ, αποκαλύπτοντας πόσα πολλά χρήματα διαθέτουν ορισμένοι hackers.

Μερικοί hackers ισχυρίζονται ότι διαθέτουν budgets πολλών εκατομμυρίων δολαρίων για την απόκτηση zero-day exploits, αλλά όσοι δεν έχουν αυτού του είδους τα χρήματα μπορεί να καταφέρουν να χρησιμοποιήσουν τα zero-days εάν γίνει πραγματικότητα μια νέα ιδέα “exploit-as-a-service”.

Δείτε επίσης: Windows: Όλες οι εκδόσεις επηρεάζονται από ευπάθεια zero-day LPE

Μεγάλα budgets απόκτησης exploit

Ο διάλογος σχετικά με τα τρωτά σημεία, τόσο παλιά όσο και νέα, σε κοινότητες εγκληματιών στον κυβερνοχώρο μερικές φορές περιλαμβάνει προσφορές για αγορά exploits σε πολύ υψηλή τιμή.

Ένας χρήστης φόρουμ στις αρχές Μαΐου πρόσφερε 25.000 δολάρια για τον exploit κώδικα proof-of-concept (PoC) για το CVE-2021-22893, μια ευπάθεια κρίσιμης σοβαρότητας στο Pulse Secure VPN που χρησιμοποιήθηκε από Κινέζους hackers τουλάχιστον από τον Απρίλιο.

Ένας άλλος χάκερ με ακόμη μεγαλύτερο budget δήλωσε ότι προσφέρει μέχρι και 3 εκατομμύρια δολάρια για σφάλματα χωρίς αλληλεπίδραση απομακρυσμένης εκτέλεσης κώδικα (RCE), τα λεγόμενα zero-click exploits, για Windows 10 και Linux.

Δείτε επίσης: Apache: Zero-day ευπάθεια επιτρέπει την απομακρυσμένη εκτέλεση κώδικα

Ο ίδιος χρήστης πρόσφερε έως και 150.000 $ για πρωτότυπες λύσεις για «αχρησιμοποίητες μεθόδους εκκίνησης στα Windows 10», έτσι ώστε το malware να ενεργοποιείται κάθε φορά που εκκινείται το σύστημα.

Συγκριτικά, η εταιρεία εξαγοράς exploit Zerodium προσφέρει έως και 1 εκατομμύριο δολάρια για ένα zero-click RCE στα Windows 10. Το υψηλότερο payout από τον broker είναι έως και 2,5 εκατομμύρια δολάρια για ένα zero-click full-chain persistence σε Android, ακολουθούμενο από 2 εκατομμύρια δολάρια για το αντίστοιχο iOS.

Τα posts εντοπίστηκαν από ερευνητές της εταιρείας προστασίας κινδύνου Digital Shadows, οι οποίοι εξέτασαν τη δραστηριότητα των απειλητικών παραγόντων

για να εκμεταλλευτούν τις αδυναμίες ασφαλείας.

Κατά τη διάρκεια της έρευνας, εντόπισαν ορισμένους hackers που συμμετείχαν σε συζητήσεις για τιμές zero-day που φτάνουν τα 10 εκατομμύρια δολάρια.

Οι ερευνητές σημειώνουν ότι τέτοιες τιμές δεν περιορίζονται πλέον σε hackers εθνικών κρατών και ότι οι εγκληματίες του κυβερνοχώρου, ιδιαίτερα οι ομάδες ransomware, μπορούν να τις αντέξουν οικονομικά.

Δείτε επίσης: Ευπάθεια στη δημοφιλή εφαρμογή γονικού ελέγχου Canopy

Επιλογή Exploit-as-a-service

Η ολοκλήρωση μιας μεγάλης πώλησης, ωστόσο, δεν είναι εύκολη και μπορεί να πάρει πολύ χρόνο. Εάν διαρκέσει πολύ, οι προγραμματιστές μπορεί να χάσουν την ευκαιρία να κερδίσουν πολλά χρήματα επειδή οι ανταγωνιστές μπορεί να βρουν μια παραλλαγή exploit, μειώνοντας την τιμή.

Για αυτόν τον λόγο, οι κυβερνοεγκληματίες συζητούν για μια λύση «exploit-as-a-service» που θα επέτρεπε στους exploit developers να νοικιάσουν ένα zero-day exploit σε πολλά parties.

Αυτή η εναλλακτική θα μπορούσε να αποφέρει τεράστια κέρδη στους προγραμματιστές zero-day exploit, ενώ θα αναμένουν έναν οριστικό αγοραστή, λένε οι ερευνητές.

Ακριβώς όπως στην περίπτωση του malware-as-as-service, η ενοικίαση των exploits θα επέτρεπε σε λιγότερο εξειδικευμένους hackers να αναπτύξουν πιο περίπλοκες επιθέσεις και να χτυπήσουν πιο πολύτιμους στόχους.

Πηγή πληροφοριών: bleepingcomputer.com