Эксперты «Лаборатории Касперского» проанализировали на чёрном рынке почти 200 объявлений о продаже информации, необходимой для начального доступа к инфраструктуре компаний. Выяснилось, что в среднем ее стоимость варьируется от 2 до 4 тыс. долл. В 75% изученных объявлений продавались данные доступа удаленного подключения по RDP, то есть готовый вход в инфраструктуру компании.
Цены зависели от отрасли и региона, где работает организация, а также от размера её выручки и того, сколько злоумышленники могут «заработать», обладая легитимной учётной записью. В одном из объявлений была, например, указана цена в 50 тыс. долл. за возможность легально подключиться к сети компании с прибылью 465 млн долл. Злоумышленникам выгоднее заплатить за готовый доступ, чем тратить время на поиск уязвимостей, поэтому такие предложения весьма привлекательны, в частности для операторов программ-вымогателей. Лоты часто продаются в день публикации.
Разделение труда при взломе
В сложных атаках почти всегда можно выделить несколько этапов, таких как разведка, первоначальный доступ к инфраструктуре, получение доступа к целевым системам и/или привилегий и непосредственно вредоносная активность (кража, уничтожение или шифрование данных и т. д.). Это один из примеров разделения атаки на шаги, которые могут выполняться несколькими подрядчиками — хотя бы потому, что для реализации разных шагов требуются разные компетенции и опыт. Например, не очень опытные злоумышленники не всегда знают, как довести атаку до логического конца (будь то запуск вредоносного ПО, кража данных и т. д.), но вполне могут зарабатывать продажей первоначального доступа — для этого обычно используется или фишинг, или воровство учетных данных с помощью готовых вредоносов. Чтобы получить этот первоначальный доступ в современной ситуации нужны только время и усидчивость — использовать для этого опытных хакеров расточительство. А сами опытные злоумышленники заинтересованы в непрерывном развитии своего бизнеса и постоянно нуждаются в новых данных для первоначального доступа к инфраструктуре организаций. Им выгоднее заплатить за готовый доступ, чем инвестировать свое время в поиск первичных уязвимостей и проникновение внутрь периметра.
Отдельного упоминания заслуживает способ получения доступа к легитимным учетным записям с помощью программ для воровства ценных данных — их называют стилерами. Такие вредоносы собирают с зараженных устройств различные учетные и платежные данные, файлы cookie, токены авторизации и т. д., которые сохраняют в системные журналы (логи). В них злоумышленники ищут информацию, с которой они умеют работать и которую могут монетизировать: для одних это данные кредитных карт, для других — доменные учетные записи, для третьих — аккаунты в социальных сетях и т. д. Этот процесс они называют «отработкой». После отработки логов злоумышленники или обмениваются ими на форумах, выкладывая их в общий доступ, или продают их «в одни руки».
«Мы непрерывно мониторим даркнет-ресурсы и отслеживаем тренды и новые тактики злоумышленников, — описал свою деятельность в качестве аналитика эксперт по кибербезопасности «Лаборатории Касперского» Сергей Щербель. — Сегодня группы вымогателей выставляют на продажу широкий спектр продуктов и сервисов, растет рынок данных, необходимых для организации кибератаки. Поэтому компаниям, которые стремятся расширять свои возможности по анализу киберугроз, стоит следить за объявлениями в дарквебе. Своевременное получение информации о планируемых нападениях, найденных уязвимостях и утекших данных позволяет предотвратить возможные атаки или минимизировать последствия уже случившихся инцидентов».
Как не попасть в лог
Если в вашей компании используется система удаленного доступа, то при ее использовании стоит соблюдать несколько правил безопасности: использовать двухфакторную или многофакторную аутентификацию при доступе к корпоративной сети; обеспечить удаленного сотрудника полноценным средством защиты от вредоносных программ, которое будет подключено к корпоративной системе контроля; обучить сотрудников, подключающихся удаленно, правилам кибергигиены и регулярно проводить тренировки; приобрести услуги «разведки угроз» (Threat Intelligence), которые включают в том числе и выявление фактов продажи ваших учетных записей на черном рынке. Следует отметить, что стать жертвой хакеров сейчас может любая российская компания — больших денег для этого зарабатывать не нужно, а потерять можно все.
