Operatorzy ransomware chcą skupować błędy 0-day. Ci mniej zamożni będą je wynajmować.

Taki czarny scenariusz wygląda coraz bardziej realnie. Jeśli tylko jedna ekipa jest w przeciągu pół roku „zarobić” $90 000 000, to ma budżet na tzw. research&development…:

Co więcej ekipa z Digital Shadows donosi, że zapytania o 0-daye coraz częściej pojawiają się na rozmaitych forach:

Oferta $3 000 000 za 0 Click RCE na Windowsa – nieźle.

Jeśli z kolei kogoś nie będzie stać na aż tak srogi wydatek, exploita będzie można wynająć:

During our investigation for this research piece we’ve noticed cybercriminals discussing ideas for an Exploit-as-a-Service business model that would inevitably lower the barrier for accessing sophisticated exploits.
This model would allow capable threat actors to “lease” zero-day exploits to other cybercriminals to conduct their attacks.

Czy producenci oprogramowania/sprzętu zaczną bardziej dbać i bezpieczeństwo? Czy będą lepiej traktować zgłaszających błędy w ramach programów bug bounty? Na razie założyłem, że pytania te są retoryczne…

~Michał Sajdak