Специалисты Check Point изучили инфраструктуру набора эксплоитов Nuclear и вредоносные кампании, в которых он задействован. В результате эксперты подготовили подробный отчет о работе Nuclear.
В отчете указано, что распространение Nuclear осуществляется в формате Malware-as-a-Service: право на пользование набором эксплоитов предоставляется по платной подписке.
Как утверждают специалисты, разработчиком данного набора эксплоитов является житель Краснодара, который получает ежемесячную прибыль от Nuclear в размере 100000 долларов. При этом в разное время ему оказывалась помощь со стороны других разработчиков.
Сервис имеет несложную инфраструктуру, в центре которой находится главный сервер, используя который разработчик Nuclear держит все под своим контролем, а также передает доступ к инфраструктуре тем, кто оплатил подписку.
У подписчиков Nuclear в распоряжение находятся собственные серверы, управление которыми является несложной задачей вследствие наличия наглядной статистики и удобной контрольной панели. С помощью сервера оператор контролирует процесс распространения вредоносного программного обеспечения.
На уровень ниже в иерархии Nuclear находится огромное количество мелких серверов, отвечающих за хостинг веб-страниц с вредоносными программами, на которые попадают пользователи в результате переадресации.
Как сообщают эксперты Check Point, в ходе исследования они выявили 15 арендованных серверов. Аналитики подсчитали, что ежемесячный заработок автора Nuclear, состоящий из его гонорара и платы за аренду серверов, достигает 100000 долларов.
Во избежание проблем с законом, создатель набора эксплоитов ввел ограничение для своей разработки. Nuclear не осуществляет атак на азербайджанских, армянских, белорусских, грузинских, казахстанских, киргизских, молдавских, российских, таджикских, узбекских и украинских пользователей.
За время мониторинга активности Nuclear эксперты Check Point выявили 1846678 атак на пользователей, посетивших веб-страницы, находящиеся под контролем киберпреступников. В результате было заражено 184568 (9,95%) компьютеров пользователей.
Nuclear занимается распространением разнообразных вредоносных программ. За время исследования на компьютеры пользователей с помощью набора эксплоитов проникли 144478 шифровальщиков, 54403 банковских троянских программ, 193 бота для кликфрода и 172 руткита.
Как сообщают эксперты Check Point, в настоящее время все известные серверы Nuclear прекратили свою работу, и, вероятно, не последнюю роль в этом сыграли изыскания специалистов.