Kyberrikollisuutta palveluna — Mikä ihme on CaaS?

Termi CaaS tulee sanoista Crime-as-a-Service ja sillä tarkoitetaan netistä palveluna ostettavaa kyberrikollisuutta, kuten esimerkiksi kohdistettua hakkerointia tai DDoS-hyökkäystä.

CaaS-palvelut ovat viime vuosien aikana yleistyneet merkittävästi. Lisäksi ne ovat muuttuneet entistä ammattimaisemmiksi ja helppokäyttöisemmiksi. Palveluita siis voi jo hyvinkin verrata nykyään yleisiin netistä ostettaviin SaaS-palveluihin.

Palveluita myydään markkinapaikoilla, jotka pyörivät Darknetissä. Darknet on internetin päällä toimiva suojattu ja anonyymi verkko, johon päästään esimerkiksi Tor-protokollaa hyödyntämällä. Darknetistä löytyy erilaisia Amazon/eBay:n kaltaisia markkinapaikkoja, josta CaaS-palveluita voidaan ostaa. Ostaminen tapahtuu yleensä jollain suositulla kryptovaluutalla, kuten esimerkiksi Bitcoinilla. Bitcoinia suositaan, sillä siinä tapahtuvien transaktioiden jäljittäminen on huomattavasti hankalampaa kuin kaupanteko perinteisillä valuutoilla.

Mikä tyyppisiä työkaluja ja palveluita sitten on saatavilla? Palvelut vaihtelevat aina self-service -tyyppisistä työkalupaketeista vuokrattaviin botnetteihin sekä täysin kohdistettuun hakkeripalveluun. Alla muutama esimerkkikuvankaappaus eräältä Tor-verkossa toimivalta kauppasivustolta.

CaaS-esimerkkejä

CrimePack — kokoelma haavoittuvuuksia itse tehtävää hyökkäystä varten
24 tunnin DDoS-hyökkäys palveluna haluttuun kohdeosoitteeseen
Yksityinen hakkeripalvelu tarjoaa mahdollisuuden täysin kohdistettuun hyökkäykseen

__________________________________________________________________________________

Yllä kuvattuna on vain muutama esimerkki siitä laajasta kirjosta CaaS-palveluita, joita Tor-markkinapaikoilta on ostettavissa. Huomionarvoista on myös näiden palveluiden erittäin halpa hinta ja työkalujen yhä kasvavampi käyttäjäystävällisyys. Helppokäyttöisyys, käyttäjäystävällisyys ja jopa mobiililaitteilla toimivat CaaS-palvelut mahdollistavat sen, että hyökkäysten tekeminen ei välttämättä vaadi mitään suurempaa teknistä osaamista. Palveluiden hintojen pyöriessä kymmenistä dollareista muutamiin satoihin, kuka tahansa voi käytännössä suorittaa kyberhyökkäyksen.