Объем продаваемых на даркнет-форумах доступов к корпоративным сетям компаний увеличивается ежегодно, однако пик пришелся на 2020 год. Оценить общий объем рынка продажи доступов в андеграунде достаточно сложно: злоумышленники часто не публикуют цены, а сделки происходят «в привате». Но в Group-IB смогли сделать невозможное — они оценили такой рынок в более чем 6 млн долларов.
«Технологии Group-IB по исследованию таких площадок, в том числе с учетом удаленной и скрытой злоумышленниками информации, позволили оценить общий размер рынка в текущем периоде (H2 2019 — H1 2020) в $6 189 388, что в четыре раза больше прошлого периода (H2 2018 — H1 2019), когда он составлял $1 609 930», — говорится в отчете Group-IB «Hi-Tech Crime Trends 2020-2021», представленном на CyberCrimeCon 2020.
Согласно документу, новой тенденцией стало участие в этом «бизнесе» прогосударственных групп, стремящихся найти дополнительное финансирование: они также начинают продавать доступы в корпоративные сети. Так, летом 2020 года были опубликованы лоты о продаже доступов к большому количеству сетей, включая государственные ведомства США, оборонных подрядчиков (Airbus, Boeing, Raytheon и др.), ИТ-гигантов и медиакомпаний. Суммарно за лоты автор поста просил около $5 млн.
«Только за первое полугодие 2020 хакерами было выставлено на продажу 277 лотов по продаже доступов к взломанным корпоративным сетям компаний. Количество продавцов также выросло до 63, из них 52 начали свою активность в этом году. Для сравнения в 2018 году активными были только 37 продавцов доступов. В 2019 году всего 50 продавцов выставили на продажу доступы к 130 компаниям. Суммарно рост продаж доступов в скомпрометированные сети компаний составил 162% относительно прошлогоднего периода (138 предложений против 362-х в текущем)», — сообщается в отчете.
Анализируя сегмент продажи доступов, аналитики Group-IB прослеживают географическую и отраслевую корреляции с атаками шифровальщиков: наибольшее количество лотов было выставлено по американским компаниям (27%), а наиболее атакуемой отраслью в 2019-м оставалось производство (10,5%), а 2020-й принес спрос на доступы в государственные организации (10,5%), образовательные учреждения (10,5%) и ИТ-компании (9%).
Стоит отметить, что продавцы такого «товара» на хакерских форумах все реже указывают такие атрибуты как название компании, локацию или отрасль, благодаря чему установить жертву и ее расположение часто невозможно без взаимодействия с атакующими. Продажа доступа в компанию, как правило, является лишь этапом в реализации атаки: полученные привилегии могут быть использованы как для запуска программы-шифровальщика с последующим вымогательством, так и для кражи данных с целью продажи на даркнет-форумах или шпионажа.
BIS Journal — медиа-партнер CyberCrimeCon’20