Исследование Positive Technologies показало, что на теневом рынке сложилась система повторной монетизации устаревших утечек. Киберпреступники находят базы данных, которые были опубликованы несколько месяцев или даже лет назад.
Затем они выставляют их на продажу, сопровождая громкими заявлениями о компрометации конкретных компаний. Некоторые участники теневого сообщества не проверяют происхождение баз и готовы платить за информацию, которая уже находится в свободном доступе. При этом стоимость одного набора данных может достигать нескольких тысяч долларов.
Характерным примером стала активность группировки RED EYES. В январе преступники объявили о взломе саудовской платформы Yamm и выставили данные на продажу. Однако структура записей, объём информации и другие признаки полностью совпадали с характеристиками базы, опубликованной ещё в июле прошлого года. Аналогичная ситуация наблюдалась и с заявленным взломом компании Baran Company Limited: сведения, представленные RED EYES как свежая утечка, в действительности были опубликованы несколькими месяцами ранее.
Интересно, что злоумышленники создают поддельные профили, в которых копируют стиль взаимодействия и оформление сообщений узнаваемых группировок, например, ShinyHunters и Babuk Locker. Их названия ассоциируются с крупными утечками, громкими заявлениями и атаками на известные компании, что повышает доверие аудитории теневых площадок и помогает мошенникам быстрее монетизировать данные. На форумах такие аккаунты, как правило, быстро блокируют благодаря системе репутации и внутреннего контроля. Поэтому ключевым каналом для формирования спроса на скомпрометированную информацию и для её повторной продажи становятся мессенджеры.
По данным исследования, доходы от перепродажи старых баз могут быть весьма значительными. Один из администраторов канала с утечками заявил, что за месяц заработал около 130 тысяч долларов. Цифра демонстрирует, что вторичный рынок утекших данных представляет собой полноценный бизнес с устойчивым спросом и высокой доходностью.
«Повторная циркуляция старых баз в дарквебе создает для организаций серьёзные риски безопасности. Даже если утечка произошла несколько лет назад, содержащаяся в ней информация может быть использована для подготовки фишинговых атак, компрометации или для первичной разведки. Кроме того, постоянное появление данных организации на теневых площадках поддерживает интерес злоумышленников, повышая вероятность новых атак. Это усложняет прогнозирование угроз и построение эффективной защиты», — отмечает специалист группы международной аналитики Positive Technologies Дмитрий Стрельцов.
Специалисты PT рекомендуют компаниям не только уделять внимание текущим инцидентам, но и мониторить повторное появление утечек своих данных на теневых ресурсах. Немаловажно отслеживать и поведение игроков в дарквебе, так как это позволяет более точно оценивать риски и своевременно принимать защитные меры.
.jpg)
.jpg)
