По данным Positive Technologies, за прошлый год в мире на 20% выросло количество киберугроз. Это стало возможным благодаря развитию множества нелегальных площадок на теневом рынке киберуслуг. Что такое дарквеб, как туда попасть, что там продаётся и зачем безопаснику туда идти в эфире программы «ИБшник на удалёнке» рассказал старший аналитик по информационной безопасности Positive Technologies Вадим Соловьёв.
«По-разному можно определять, что такое дарквеб. Для простоты можно считать, что это совокупность сайтов, форумов, различных каналов, на которых продаются и покупаются нелегальные услуги. Например, это могут быть наркотики, оружие, услуги по изготовлению поддельных документов и, конечно, вредоносное ПО и хакинг», — сказал Вадим Соловьёв.
Подобные ресурсы часто блокируются властями, поэтому долго на одном домене они не задерживаются. Для того чтобы не терять аудиторию, их доменные имена зарегистрированы в разных доменных зонах. Также многие ресурсы имеют копии в Tor (их ещё называют «зеркала»). Вообще таких ресурсов достаточно много, но обычно безопасники следят за наиболее актуальными и наиболее живыми — их порядка 200.
Чтобы туда попасть, надо знать дорогу. Всё начинается с обычного интернета и гугла. Поскольку аудитория на всей этой совокупности сайтов в дарквебе более-менее одна и та же, можно на одних сайтах находить отсылки на другие сайты, и вот так по цепочке с одного на другой переходишь всё глубже и глубже, пока не упрёшься в какие-нибудь Tor-сайты или более закрытые технологиями ресурсы.
Казалось бы, зачем ИБ-специалистам идти в дарквеб, но для построения эффективной защиты надо знать своего потенциального врага в лицо. Поэтому зрелые компании, работающие в ИБ, и отдельные эксперты стараются в той или иной степени следить за активностью киберпреступников. «Вообще многие тренды кибератак можно предугадать или в явном виде прочитать в сообщениях на таких форумах. Здесь я имею в виду новые способы атак, новое вредоносное ПО, новые возможности уже известного вредоносного ПО. И само собой, появление новых группировок», — отметил Вадим Соловьёв.
А что по трендам?
По словам Вадима Соловьёва, наибольшем спросом среди хакерских услуг и сервисов пользуется всё, что касается вредоносного ПО. В то же время, согласно недавнему исследованию Positive Technologies, в I квартале 2020 года в даркнете продавалось 88 доступов к крупным компаниям (в прошлом году таких доступов было 3). В объявлениях о продаже говорится как о доступе в компании с 50 машинами, так и в компании с 5-6 тысячами машин. Если брать в среднем, например, компанию с 1 тысячью машин, то стоимость доступа стоит примерно 5 тысяч долларов.
«Доступы к единичным компьютера в дарквебе продаются уже давно. Если не будем сильно ударяться в историю, но новый тренд продажи доступа к корпоративным сетям появился, потому что у злоумышленников появились необходимые технологии», — отметил Вадим Соловьёв.
В первую очередь, это криптовалюты, с помощью которых злодеи могут анонимно заниматься вымогательством. А во вторую очередь, это партнёрские программы шифровальщиков. Ещё говорят, что такие шифровальщики распространяются по модели шифровальщик как сервис. Этого оказалось достаточно для того, чтобы началась активная скупка доступов к компьютерам, которые можно было бы заразить такими шифровальщиками. Пару лет назад операторы некоторых шифровальщиков поняли, что атаковать частных лиц не так выгодно как крупные цели. Первые объявления о продаже корпоративных доступов были замечены ещё в 2017 году. Однако бурная активность по этой теме продажи корпдоступов началась с середины прошлого года. По мнению Вадима Соловьёва, этому всплеску способствовал уход со сцены команды шифровальщика GandCrab, когда они объявили, сколько денег на этом заработали и насколько просто это было. «Думаю, это замотивировало другие группировки шифровальщиков присмотреться к корпорациям и начать целенаправленно скупать доступы в сети крупных компаний», — добавил он.
В то же время Вадим Соловьёв пока не видит взаимосвязи между переводом компаний на удалёнку и ростом числа купли-продаж доступа в корпоративную сеть. Однако он отметил, что это создаёт реальную угрозу для бизнеса. «К инфраструктуре подключается гораздо большее число сотрудников, поскольку многие переходят на удалённый режим работы. И в таких условиях выявить какую-то нелегитимную активность гораздо сложнее, особенно если она осуществляется со взломанной учётной записи. Кроме того при переходе на удалёнку компания может начать использовать какое-то дополнительное ПО для обеспечения работы, которое могут также использовать злоумышленники для поддержания удалённого доступа. Это я говорю про TeamViewer, RMS, Ammyy Admin и похожие вещи», — добавил Вадим Соловьёв.
Как защититься
По словам эксперта, в первую очередь необходимо понять, а не произошло ли уже подключение злоумышленника в корпоративную сеть. Для этого можно провести ретроспективный анализ. Но надо понимать, что если есть хотя бы малейшая догадка, что что-то в инфраструктуре идёт не так, то надо задуматься о поиске этих инцидентов. Затем, как только провели ретроспективный анализ, надо заняться защитой периметра. «Я всецело поддерживаю идею инвентаризации периметра. И после того, как вы проверили всё ли хорошо у вас внутри, всё ли хорошо у вас на границе, надо заняться на постоянной основе мониторингом различных аномалий, инцидентов внутри как на хостах, так и в трафике», — заключил Вадим Соловьёв.