Pencuri mata wang kripto, perisian hasad yang direka untuk mencuri mata wang kripto, kini lebih mudah diakses apabila ekosistem berkembang menjadi model perniagaan perisian-sebagai-perkhidmatan (SaaS).
Dalam laporan pada 22 April, firma forensik dan pematuhan kripto AMLBot mendedahkan bahawa banyak operasi pencuri telah beralih kepada model SaaS yang dikenali sebagai pencuri-sebagai-perkhidmatan (DaaS). Laporan itu mendedahkan bahawa penyebar perisian hasad boleh menyewa pencuri dengan harga serendah 100 hingga 300 USDt (USDT).
Ketua Pegawai Eksekutif AMLBot, Encik Slava Demchuk, memberitahu Cointelegraph bahawa "sebelum ini, memasuki dunia penipuan mata wang kripto memerlukan pengetahuan teknikal yang agak banyak." Itu tidak lagi berlaku. Di bawah model DaaS, "memulakan tidak jauh lebih sukar daripada jenis jenayah siber lain," menurutnya.
Demchuk menjelaskan bahawa pengguna pencuri yang berpotensi menyertai komuniti dalam talian untuk belajar daripada penipu berpengalaman yang menyediakan panduan dan tutorial. Inilah cara ramai penjenayah yang terlibat dengan kempen phishing tradisional beralih ke ruang pencuri mata wang kripto.
Berkaitan: Penggodam Korea Utara menyasarkan pembangun kripto dengan ujian pengambilan palsu
Jenayah siber di Rusia — hampir sah
Kumpulan yang menawarkan pencuri mata wang kripto sebagai perkhidmatan semakin berani dan ada yang berkembang hampir seperti model perniagaan tradisional, kata Demchuk, menambah:
“Menariknya, beberapa kumpulan pencuri telah menjadi begitu berani dan profesional sehingga mereka bahkan mendirikan gerai di persidangan industri — CryptoGrab menjadi salah satu contohnya.”
Apabila ditanya bagaimana operasi jenayah boleh menghantar wakil ke acara industri teknologi maklumat tanpa akibat, seperti penangkapan, beliau menunjukkan penguatkuasaan jenayah siber Rusia sebagai sebabnya. “Ini semua boleh dilakukan di bidang kuasa seperti Rusia, di mana penggodaman kini pada dasarnya disahkan jika anda tidak beroperasi di seluruh ruang pasca-Soviet,” katanya.
Amalan ini telah menjadi rahsia terbuka dalam industri keselamatan siber selama bertahun-tahun. Penerbitan berita keselamatan siber KrebsOnSecurity melaporkan pada 2021 bahawa “hampir semua strain ransomware” dinyahaktifkan tanpa menyebabkan kerosakan jika mereka mengesan papan kekunci maya Rusia dipasang.
Begitu juga, pencuri maklumat Typhon Reborn v2 memeriksa geolokasi IP pengguna terhadap senarai negara pasca-Soviet. Menurut firma rangkaian Cisco, jika ia menentukan bahawa ia terletak di salah satu negara tersebut, ia dinyahaktifkan. Sebabnya mudah: pihak berkuasa Rusia telah menunjukkan bahawa mereka akan bertindak jika penggodam tempatan menyerang warga blok pasca-Soviet.
Berkaitan: Apa itu Bitcoinlib, dan bagaimana penggodam menyasarkannya?
Pencuri terus berkembang
Demchuk selanjutnya menjelaskan bahawa organisasi DaaS biasanya mencari pelanggan mereka dalam komuniti phishing sedia ada. Ini termasuk forum topi kelabu dan hitam di kedua-dua clearnet (internet biasa) dan darknet (web gelap), serta kumpulan dan saluran Telegram dan platform pasaran kelabu.
Pada 2024, Scam Sniffer melaporkan bahawa pencuri bertanggungjawab untuk kira-kira $494 juta dalam kerugian, peningkatan 67% berbanding tahun sebelumnya, walaupun terdapat peningkatan 3.7% dalam bilangan mangsa. Pencuri semakin meningkat, dengan gergasi keselamatan siber Kaspersky melaporkan bahawa bilangan sumber dalam talian yang didedikasikan untuk mereka di forum darknet meningkat dari 55 pada 2022 kepada 129 pada 2024.
Pembangun sering direkrut melalui iklan pekerjaan biasa. Penyiasat perisikan sumber terbuka AMLBot, yang lebih suka kekal tanpa nama atas sebab keselamatan, memberitahu Cointelegraph bahawa semasa menyelidik pencuri, pasukannya “menemui beberapa iklan pekerjaan yang secara khusus menyasarkan pembangun untuk membina pencuri untuk ekosistem Web3.”
Beliau menyediakan satu iklan pekerjaan yang menerangkan ciri-ciri skrip yang diperlukan untuk mengosongkan dompet Hedera (HBAR). Sekali lagi, tawaran itu terutamanya disasarkan kepada penutur bahasa Rusia:
“Permintaan ini pada asalnya ditulis dalam bahasa Rusia dan dikongsi dalam sembang Telegram yang berfokuskan pembangun. Ia adalah contoh jelas bagaimana bakat teknikal direkrut secara aktif dalam komuniti niche, yang sering separa terbuka.”
Penyiasat itu selanjutnya menambah bahawa iklan seperti ini muncul dalam sembang Telegram untuk pembangun kontrak pintar. Sembang tersebut tidak bersifat peribadi atau terhad, tetapi ia kecil, dengan biasanya 100 hingga 200 ahli.
Pengurus dengan cepat memadamkan pengumuman yang disediakan sebagai contoh. Namun, “seperti yang sering berlaku, mereka yang perlu melihatnya sudah mengambil perhatian dan bertindak balas.”
Secara tradisinya, perniagaan jenis ini dijalankan di forum clearnet khusus dan forum web gelap yang boleh diakses melalui rangkaian Tor. Namun, penyiasat berkata bahawa banyak kandungan berpindah ke Telegram terima kasih kepada dasar mereka terhadap perkongsian data dengan pihak berkuasa. Ini berubah selepas penangkapan Ketua Pegawai Eksekutif Telegram, Pavel Durov:
“Sebaik sahaja Telegram mengumumkan bahawa ia memberikan data, maka aliran keluar ke Tor bermula semula, kerana lebih mudah untuk melindungi diri di sana.”
Namun, ini adalah kebimbangan kepada penjenayah siber yang mungkin tidak lagi relevan. Awal minggu ini, Durov menyatakan kebimbangan terhadap ancaman yang semakin meningkat terhadap mesej peribadi di Perancis dan negara-negara Kesatuan Eropah yang lain, memberi amaran bahawa Telegram lebih suka keluar dari pasaran tertentu daripada melaksanakan pintu belakang penyulitan yang merosakkan privasi pengguna.
Majalah: Apabila phishing Ethereum menjadi lebih sukar, pencuri beralih ke TON dan Bitcoin