.jpg)
Недавно мы рассказывали, зачем безопаснику идти в дарквед. В продолжении темы мы расскажем об исследовании Positive Technologies, посвящённому росту популярности торговли доступами к корпоративным сетям на теневом рынке.
Согласно исследованию, в первом квартале 2020 года число предложений о продаже доступов на 69% превышает показатели предыдущего квартала. В четвертом квартале 2019 года на продажу на хакерских форумах было выставлено более 50 доступов к сетям крупных компаний со всего мира (столько же было за весь 2018 год), а уже в первом квартале 2020 года в продаже было более 80 доступов.
Ещё год или два назад злоумышленников интересовали доступы к единичным серверам, которые скупались на теневом рынке по цене до 20 долларов. Но уже со второй половины 2019 года вырос интерес к покупке доступов к локальной сети компаний. Изменилась и цена, некоторые продавцы оценивают свой товар в суммы от 500 долларов до 100 тысяч долларов, также появились скупщики, предлагающие покупателям выгодные условия и постоянное сотрудничество. Например, если взломана инфраструктура компании с годовым доходом от 500 миллионов долларов, предлагается доля от потенциальной прибыли после завершения атаки, размер которой может доходить до 30%. Средняя же стоимость привилегированного доступа к локальной сети сейчас составляет порядка 5000 долларов.
В исследовании говорится, что чаще всего продаются доступы в промышленные организации, компании из сферы услуг, финансов, науки и образования, информационных технологий (всё это 58% предложений в совокупности). В число жертв сегодня входят организации с годовым доходом от сотен миллионов до нескольких миллиардов долларов. Чаще всего продаются доступы в компании из США (31,4%), также в пятёрку входят Италия и Великобритания (по 5,2% предложений), Бразилия (4,3%), Германия (3%). При этом в случае США чаще всего продают доступы в организации сферы услуг (20%), промышленные компании (18%) и государственные учреждения (14%). Применительно к Италии в лидерах спроса промышленность (25%) и сфера услуг (17%), а в Великобритании ― сфера услуг (33%), наука и образование (25%) и финансовая отрасль (17%). В Бразилии в 20% случаев речь идёт о продаже доступа к сетям государственных учреждений и в 10% — медицинских. По 29% всех продаваемых доступов в немецкие компании приходится на сферу ИТ и сферу услуг.
Обычно покупатели такого товара — другие злоумышленники. Они могут либо сами развить атаку до интересующих их бизнес-систем, либо нанять команду более квалифицированных хакеров, которые за короткое время смогут получить привилегии администратора домена и разместят вредоносные файлы на критически важных для жертвы серверах. Согласно исследованию, одними из первых такую схему взяли на вооружение операторы шифровальщиков, скупая доступы за фиксированную плату у одних преступников и нанимая других уже для размещения ВПО в локальной сети за высокий процент от полученного с жертвы выкупа. На теневых форумах такая схема получила название «партнерская программа шифровальщика» (ransomware affiliate program).
«Мы ожидаем, что в ближайшее время крупные организации могут попасть под прицел низкоквалифицированных нарушителей, которые нашли способ легкого заработка. В период всемирного карантина, когда компании массово переводят сотрудников на удалённую работу, хакеры будут искать любую незакрытую брешь в системах на периметре сети. Чем крупнее компания, в сеть которой удастся получить доступ, и чем выше полученные привилегии, тем больше сможет заработать преступник», ― прокомментировал исследование старший аналитик Positive Technologies Вадим Соловьев.
(1).png)