Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Operatorzy ransomware chcą skupować błędy 0-day. Ci mniej zamożni będą je wynajmować.
Taki czarny scenariusz wygląda coraz bardziej realnie. Jeśli tylko jedna ekipa jest w przeciągu pół roku „zarobić” $90 000 000, to ma budżet na tzw. research&development…:
Co więcej ekipa z Digital Shadows donosi, że zapytania o 0-daye coraz częściej pojawiają się na rozmaitych forach:
Oferta $3 000 000 za 0 Click RCE na Windowsa – nieźle.
Jeśli z kolei kogoś nie będzie stać na aż tak srogi wydatek, exploita będzie można wynająć:
During our investigation for this research piece we’ve noticed cybercriminals discussing ideas for an Exploit-as-a-Service business model that would inevitably lower the barrier for accessing sophisticated exploits.
This model would allow capable threat actors to “lease” zero-day exploits to other cybercriminals to conduct their attacks.
Czy producenci oprogramowania/sprzętu zaczną bardziej dbać i bezpieczeństwo? Czy będą lepiej traktować zgłaszających błędy w ramach programów bug bounty? Na razie założyłem, że pytania te są retoryczne…
~Michał Sajdak
Pomysł z wynajmem exploitów z jednej strony jest świetny (przynajmniej z perspektywy osób się tym zajmujących), zwiększy bowiem ich realną podaż na rynku – a co za tym idzie, zarobią też dostawcy legalnych usług związanych z ransomware.
Natomiast z drugiej strony boję się, że ucierpi przez to transparentność – docelowo mniej exploitów może kiedykolwiek wyjść z kodem źródłowym. I to nie tylko 0-dayów, ale wszystkich. A to by było słabe.