Рынок киберпреступных услуг в Бразилии

Бразилия является крупнейшей экономикой и одной из наиболее влиятельных стран Латинской Америки. Ключевые экономические отрасли — автомобилестроение, нефтехимическая и металлургическая промышленность, сельское хозяйство и др. — претерпевают цифровую трансформацию, что, с одной стороны, оптимизирует ключевые отраслевые процессы, а с другой — открывает новые возможности для реализации киберугроз злоумышленниками.

Исследование сосредоточено на теневых рынках киберпреступных услуг, затрагивающих государственные и частные организации Бразилии и ее жителей.

Цели исследования:

• проанализировать цифровой ландшафт страны и выделить ключевые направления его развития;

• охарактеризовать текущий ландшафт киберугроз с учетом цифровой грамотности населения, нормативных документов и принятых организационно-технических мер по кибербезопасности, а также наблюдаемых трендов при реализации кибератак;

• исследовать ряд крупнейших теневых ресурсов относительно объявлений, затрагивающих организации и частных лиц Бразилии, выделить тенденции и закономерности, характерные для страны;

• спрогнозировать тренды и тенденции теневого рынка для Бразилии;

• предложить рекомендации по обеспечению кибербезопасности для государства и бизнеса.

В ходе исследования было проанализировано девять наиболее популярных теневых форумов и свыше 400 телеграм-каналов. В выборку попали крупнейшие разноязычные теневые площадки различной тематики. Для исследования рассматривался период с 01.01.2025 по 01.04.2025.

Сообщения анализировались по следующим категориям:

• База данных — утечки, содержащие персональные данные, учетные данные пользователей, конфиденциальную документацию компаний.

• Доступ — данные для несанкционированного доступа к устройству или сервису в инфраструктуре компании.

• Уязвимость — уязвимости и эксплойты.

• Кардинг — информация о банковских картах.

• Ransomware — сообщения хакерских группировок об успешных атаках с использованием программ-вымогателей (шифровальщиков).

• DDоS — сообщения хакерских группировок об успешных DDoS-атаках.

• Дефейс — сообщения хакерских группировок об успешном проведении атаки с изменением главной веб-страницы.

Внедрение процессов и мер кибербезопасности в Латинской Америке отличается от принятых в наиболее технологически развитых странах, при этом уровень цифровизации уже достаточно высок. Это приводит к тому, что в регионе злоумышленники обладают более широкими возможностями. Отмечается, что киберугрозы в Латинской Америке растут быстрее, чем где-либо еще в мире. По информации на начало текущего года, латиноамериканские компании в среднем подвергаются 2569 атакам в неделю — это почти на 40% больше среднего мирового показателя в 1848 атак.

Бразилия ожидаемо входит в число основных целей в мире для кибератак и финансового мошенничества. Так, по данным на 2023–2024 гг., на бразильские организации пришлась почти пятая часть (19%) всех кибератак региона. Проблемы в части противодействия киберугрозам были видны и по позиции страны в рейтинге индекса киберзащищенности (The Cyber Defense Index 2022/23): Бразилия заняла 18-е место.

Успех кибератак во многом обусловлен тем, что при массовом внедрении цифровых технологий (банковских мобильных приложений, социальных сетей и электронной почты) уровень цифровой грамотности населения остается довольно низким. Вместе с тем в ходе цифровизации бразильские организации стали все чаще использовать облачные вычисления, мобильные приложения и платформы на основе API для оптимизации операций и стимулирования инноваций. Этот цифровой всплеск, несомненно значимый для трансформации привычных бизнес-моделей, расширил поверхность кибератак.

Среди проблем, с которыми сталкиваются бразильские организации, — устаревшие системы и фрагментированные ИТ-инфраструктуры, которые затрудняют бесшовную интеграцию современных мер безопасности, оставляя уязвимые места. Кроме того, Бразилия сталкивается с постоянной нехваткой квалифицированных кадров в сфере кибербезопасности. Так, по данным опроса, проведенного в феврале текущего года консалтинговой компанией Rooby, 50% бразильских руководителей по кибербезопасности считают, что университеты не готовят специалистов для отрасли в достаточной степени, а 30% отмечают, что дипломы обеспечивают лишь минимальную подготовку. При этом 56% руководителей отметили трудности с поиском квалифицированных специалистов в области информационной безопасности, а 38% — с поиском специалистов в таких узкоспециализированных областях, как анализ киберугроз и защита облачных приложений.

Возвращаясь к тенденциям цифрового развития Бразилии, следует отметить, что активно цифровизируемые госучреждения лидируют среди категорий жертв: за период 2023–2024 гг. превалирующая доля (26%) кибератак пришлась именно на них. Это связано как с недостаточной защищенностью госучреждений, так и с возрастающим числом цифровых сервисов, расширяющих поверхность атаки.

Так, на теневых форумах присутствуют объявления об успешных взломах государственных сервисов с требованием выкупа за восстановление доступа к данным. В частности, это коснулось крупнейшего бразильского сервиса gov.br. Сервис пострадал от кибератаки группировки вымогателей KillSec, которая в 2024 году объявила о выпуске собственного шифровальщика, продаваемого по подписке (ransomware as a service). Объявление об атаке на gov.br было опубликовано группировкой в конце октября 2024 года и содержало сведения о частных лицах и компаниях, их адресах и контактной информации, идентификационных номерах предприятий-налогоплательщиков (CNPJ) и налогоплательщиков — физических лиц (CPF), а также сведения о предоставляемых услугах и контрактах. В объявлении указано, что данные опубликованы, что говорит о том, что выкуп не был заплачен.

В части биометрического развития бразильский орган по защите данных (ANPD) 24 июня 2024 года опубликовал исследование, в котором обсуждались использование, риски и достижения в области биометрических данных и технологий распознавания лиц. ANPD подчеркнул чувствительность биометрических данных, потенциальные ошибки идентификации и риски дискриминации. Наряду с признанием технологий искусственного интеллекта как эффективного инструмента для повышения качества распознавания лиц в целях безопасности были отмечены и актуальные проблемы, связанные с точностью и конфиденциальностью работы моделей.

Растущая важность биометрических систем в Бразилии в сочетании с недостаточной квалификацией специалистов по кибербезопасности может приводить к направленным атакам с целью компрометации данных и нарушения деятельности. Так, в марте текущего года произошел масштабный инцидент, затронувший FacePass, бразильское приложение для идентификации. В результате кибератаки было раскрыто более 1,6 млн файлов, содержащих конфиденциальную информацию пользователей и учетные данные корпоративной системы. Утечка произошла из-за некорректных настроек через открытый контейнер облачного хранилища Amazon Web Services, в результате под угрозой оказались персональные данные множества жителей Бразилии. Среди скомпрометированных данных — национальные удостоверения личности, селфи для проверки, полные имена, номера CPF (налоговые идентификаторы), номера телефонов, а также учетные данные Amazon Web Services. Нарушение также раскрыло учетные данные FacePass Amazon Web Services, что потенциально позволило получить несанкционированный доступ к системам компании.

Финансовые организации являются одной из ключевых целей злоумышленников по всему миру, и эта тенденция не обошла стороной и Бразилию. Одним из наиболее громких инцидентов в этой сфере стала утечка данных Банка Бразилии (Banco do Brasil), в результате которой были скомпрометированы конфиденциальные данные клиентов, включая персональные идентификационные данные и финансовую информацию. Вместе с тем недостаточный уровень цифровой грамотности сотрудников, защищающих и настраивающих банковскую информационную инфраструктуру, также может привести к серьезным проблемам безопасности. Например, из-за недостатков мер кибербезопасности, принятых в бразильском Banco Inter, были раскрыты данные счетов клиентов и истории транзакций.

В Бразилии криптовалюта является законным средством платежа, что значительно расширяет поверхность угроз для финансового сектора. Так, в 2024 году отдел разведки угроз Google Cloud обнаружил, что киберпреступники активно атакуют бразильские криптовалютные биржи и финтех-компании.

Следует отметить, что правительство Бразилии предпринимает активные усилия по противодействию киберугрозам:

• В декабре 2023 года Бюро институциональной безопасности (GSI) обновило национальную политику кибербезопасности Бразилии (PNCiber) и создало национальный комитет по кибербезопасности (CNCiber), нацеленный на разработку национальных технологий, борьбу с киберпреступностью, повышение устойчивости организаций к сетевым угрозам и содействие международному сотрудничеству в области цифровой безопасности.

• Для частичного преодоления проблем безопасности, связанных с биометрией, в Бразилии создана Федеральная биометрическая служба для надзора за выдачей биометрических национальных удостоверений личности (carteira de identidade nacional). Новый закон обязывает Федеральную биометрическую службу иметь системы для выполнения биометрических проверок «один ко многим» и «один к одному» в отношении имеющихся у нее биометрических данных.

• Стремление к противодействию киберугрозам также подчеркивается ростом бразильского рынка кибербезопасности: по прогнозам, он достигнет 5,46 млрд $ к 2029 году, увеличившись в среднем на 10,3%.

Однако в Бразилии сегодня сохраняется ряд значимых проблем, связанных с кибербезопасностью. В частности, бразильский орган по защите данных (ANPD) не вошел в состав CNCiber, что может являться существенным упущением, учитывая важность защиты персональных данных от киберугроз. Крайне важно, чтобы в состав ключевых органов государства, занимающихся реализацией национальной политики кибербезопасности, входили технические эксперты, обладающие соответствующим опытом и компетенциями. Нехватка квалифицированных специалистов — одно из наиболее значимых препятствий для роста бразильского рынка кибербезопасности.

Бразилия, экономика которой становится все более цифровой, становится приоритетной целью для киберпреступников как внутри страны, так и за рубежом. За 2023–2024 гг., по нашим данным, преобладающими категориями последствий успешных кибератак на организации Латинской Америки являются утечка конфиденциальной информации (53%) и нарушение основной деятельности (35%), и Бразилия, несомненно, внесла определяющий вклад в эти показатели.

В рамках исследования крупнейших теневых форумов и телеграм-каналов для Бразилии были выявлены следующие тенденции, каждая из которых будет более подробно рассмотрена далее:

1. Превалирующая доля объявлений (около 38%) относительно Бразилии связана с продажей/раздачей баз данных и комбо-листов.
2. Значительная часть объявлений (более 10%) затрагивает государственный сектор, что соответствует глобальной статистике по открытым данным и коррелирует с одним из бразильских векторов цифровизации, связанных с предоставлением электронных услуг гражданам.
3. Для Бразилии наблюдается общемировая тенденция теневых рынков, состоящая в трансформации дарквеба в теневую экосистему, в рамках которой пользователям предлагаются различные сервисы, упрощающие реализацию кибератак. Вместе с тем тенденция к разделению труда в киберпреступной среде в отношении доступов к инфраструктуре также нашла свое отражение в Бразилии.
4. Велика доля объявлений о продаже/раздаче сканов документов (паспортов и водительских удостоверений) вместе с селфи-фото и видео для прохождения авторизации.
5. В Бразилии, как и во всей Латинской Америке, активно действуют шифровальщики. В части теневых рынков это проявляется в объявлениях киберпреступников, нацеленных на получение выкупа за украденные данные.

Базы данных и комбо-листы совокупно представляют собой преобладающую долю (38%) объявлений теневых форумов относительно Бразилии, их соотношение между собой составляет примерно два к одному.

Базы данных, как правило, являются более информативной категорией утечек по сравнению с комбо-листами, которые часто составляются из уже устаревших баз данных путем удаления всей информации, кроме пар «электронная почта — пароль» и подобных им. Базы могут содержать персональные и учетные данные пользователей, конфиденциальную информацию компаний и т. п.

Зачастую утечки распространяются с указанием источника, типа скомпрометированных данных и стоимости. Например, ниже представлено типичное сообщение о продаже базы данных бразильского маркетплейса, содержащей сведения о ее клиентах, продавцах и продуктах (стоимость — 390 $). Данные о клиентах включают в себя телефон, адрес электронной почты, CPF, фото и прочую информацию. Подобные данные могут быть использованы для дальнейших атак на клиентов компании.

Стоимость данных напрямую зависит как от уникальности данных, так и от размеров компании. Так, база данных бразильской IT-компании, скомпрометированная в конце февраля текущего года, содержит имена, телефоны и адреса электронной почты сотрудников и продается за 100 $, тогда как стоимость отдельных утечек может превышать десятки тысяч долларов.

Цена за комбо-листы аналогично может варьироваться в зависимости от объема и «свежести» данных, например комбо-лист, содержащий почти 3 млн адресов электронной почты и паролей, можно приобрести на теневом форуме за 300 $.

Большое число объявлений о раздаче/продаже комбо-листов и баз данных низкой ценности, предположительно, может быть связано с легкостью получения таких данных: текущий уровень цифровой грамотности в Бразилии характеризуется частым использованием простых паролей и недостаточной эффективностью защитных мер при передаче, обработке и хранении персональных данных и другой чувствительной информации.

Следует также отметить, что конкуренция на теневых ресурсах высока, и для успешной работы продавцам товаров и услуг требуется демонстрировать высокую степень вовлеченности и поддерживать высокий уровень доверия к себе за счет оперативного ответа покупателям и удовлетворения их потребностей. Поэтому бесплатная раздача данных отчасти может способствовать завоеванию авторитета в теневом сообществе.

Как правило, базы данных и комбо-листы могут быть использованы для реализации кибератак следующим образом:

1. Для автоматизации методов кибератак, связанных с учетными данными: брутфорса, подстановки учетных данных, взлома аккаунтов и т. п. Цель злоумышленников в таких атаках — проверить украденные учетные данные на различных сайтах и в приложениях в надежде найти совпадение и получить несанкционированный доступ к конфиденциальным данным или инфраструктуре. Это может сработать, поскольку люди часто используют одни и те же пароли сразу для нескольких сервисов.

2. Для реализации целевых кибератак с использованием методов социальной инженерии. Например, дополняя информацию о скомпрометированных корпоративных эл. адресах утекшими документами из баз данных, а также сведениями из соцсетей, киберпреступники могут установить ключевых лиц компании (высшее руководство, сотрудников IT-департамента и финансового отдела) и в дальнейшем сформировать целенаправленное фишинговое воздействие уже на них.

Таким образом, следует отметить, что базы данных в силу своего разнообразия чаще являются источником ценных знаний и ресурсов для злоумышленников, чем комбо-листы, которые в большинстве случаев являются low-value-товарами теневого рынка. Однако, как правило, информация, полученная из баз данных и комбо-листов, позволит реализовать лишь первоначальный этап кибератаки, сокращая киберпреступникам время на разведку и предоставляя широкие возможности для атак методами социальной инженерии. 

Общемировая тенденция для теневых рынков, состоящая в укреплении сервисной модели, наблюдается и в отношении Бразилии. Среди объявлений все чаще встречаются предложения различных сервисов для пользователей, не имеющих необходимой квалификации для самостоятельного взлома инфраструктуры или кражи данных.

Отмечаются сервисы для реализации фишинговых атак, перехвата SMS-сообщений, получения доступа к подпискам на популярные мультимедийные сервисы (Netflix, Spotify). Киберпреступники, не обладающие соответствующей квалификацией, заинтересованы в использовании подобных сервисов для реализации своих целей. Например, фишинговые атаки и перехваченные SMS-сообщения могут быть использованы для получения несанкционированного доступа к приложениям и сервисам, установленным на устройствах жертвы (банковским приложениям, государственным электронным сервисам, личному кабинету на портале медицинских услуг и т. п.). В контексте Бразилии это особенно актуально ввиду невысокой цифровой грамотности пользователей, получивших возможность управлять своими финансами и другими ресурсами посредством смартфона.

В одном из объявлений предлагается возможность использования фишинговой панели, работающей в режиме реального времени. Авторы объявления отмечают, что ее функциональность включает более 160 фишинговых страниц, имитирующих банки, криптобиржи, социальные сети и прочие объекты, причем есть возможности настройки отображаемого контента под конкретную жертву, а также расширения базы фишинговых страниц, исходя из запросов покупателей. Отмечается, что с помощью панели можно получить пары «логин — пароль», коды из SMS-сообщений и электронных писем, коды двухфакторной аутентификации (2FA). Панель, как отмечает автор объявления, уже включает фишинговые страницы для крупнейших банков ряда стран. В отношении Бразилии она способна имитировать страницы следующих банков: Banco Bradesco, Banco do Brasil, Banco Itaú, Nubank PJ.

Автор объявления о предоставлении сервиса по перехвату SMS-сообщений уточняет, что сервис работает для любых номеров оператора Claro — крупнейшей телекоммуникационной группы в Латинской Америке и одного из ключевых мультисервисных операторов в Бразилии, представленного во всех регионах страны. Claro работает более чем в 4800 бразильских муниципалитетах, а ее сети обеспечивают услугами около 98% населения. Стоимость перехвата одного SMS-сообщения — 100 $, а за 300 $ уже можно работать с одним номером без ограничений. Использование такого сервиса позволяет злоумышленникам взламывать аккаунты пользователей, красть деньги с их счетов через коды подтверждения транзакций, завладевать чувствительной информацией (персональными и медицинскими данными), что в дальнейшем может быть использовано для мошенничества, шантажа или реализации атак методами социальной инженерии.

Несмотря на то что объявления о продаже различных аккаунтов не имеют прямого отношения к реализации атак, они зачастую сами являются результатом киберпреступной деятельности. Такие аккаунты могут быть получены незаконным путем, например из различных утечек, в результате работы вымогательских программ или неправомерного использования сервисов. Как отмечает автор объявления ниже, его услуги помогут получить доступ к неограниченному числу фильмов и треков на различных сервисах.

За определенную плату киберпреступники предлагают весьма широкий спектр доступов и БД по различным странам, не ограничиваясь публикацией объявлений об уже имеющихся данных и доступах. Многие брокеры информации предлагают свои услуги по целевому поиску информации по запросу клиента. Таким образом, для всего теневого рынка наблюдается экосистемность, поскольку любой этап кибератаки может быть отдан на аутсорс более квалифицированным киберпреступникам. Объявления на теневых форумах становятся похожими на рекламную площадку, работающую с таргетированными запросами.

В результате порог входа в киберпреступное сообщество снижается, и за деньги даже человек, не обладающий необходимой квалификацией и знаниями, может попробовать себя в роли «хакера».

Еще одна общемировая тенденция теневых рынков, которая также наблюдается и для Бразилии, — это разделение труда в киберпреступной среде, проявляющееся в том числе в популярности сервисов по продаже доступов к инфраструктурам различных компаний (доля объявлений о продаже/раздаче доступов к инфраструктуре бразильских организаций составляет 12% от всех объявлений). Переход многих злоумышленников на сервисную модель привел к большему спросу на покупку первоначальных доступов, что нашло отражение в преобладании объявлений о продаже доступов (72%) над объявлениями об их бесплатной раздаче (18%).

Более квалифицированные злоумышленники специализируются на добыче доступов и их последующей продаже, в том числе тем, кому эти доступы требуются для успешной реализации кибератаки. «Доступами» в дарквебе называют данные для получения несанкционированного доступа к устройству или сервису в инфраструктуре компании.

Доступы могут быть получены различными способами, в частности путем реализации:

• кибератак, использующих низкую цифровую грамотность пользователей. К таким атакам относятся фишинговые атаки, атаки методом брутфорса или с использованием словарей, которые эффективны в случае слабых пользовательских паролей, а также атаки с использованием вредоносного программного обеспечения, распространяемого посредством вложений или ссылок в электронной почте или мессенджерах;

• кибератак, эксплуатирующих уязвимости программного обеспечения, функционирующего в атакуемой инфраструктуре. Такие атаки могут быть связаны среди прочего с использованием устаревших операционных систем и приложений, которые больше не поддерживаются и не получают обновлений безопасности;

• кибератак, использующих слабые места в настройке механизмов защиты, например неправильную конфигурацию систем (наличие открытых портов, использование ненадежных протоколов и т. п.) или недостаточную сегментацию сети.

Например, за 3000 $ на одном из теневых форумов можно приобрести доступ к бразильскому DNS-контроллеру. Детальная информация о контроллере не публикуется, однако из объявления можно понять, что он предоставляет доступ к пользовательскому трафику. Получение такого доступа может открыть возможности для реализации фишинговых атак, захвата аккаунтов, установки вредоносного программного обеспечения, а также регистрации под корпоративной учетной записью.

Среди объявлений можно встретить продажу доступов к инфраструктуре крупных промышленных, государственных и финансовых учреждений. Получение доступа к инфраструктуре промышленных компаний может предоставить злоумышленникам возможность влиять на реализацию технологических процессов, в том числе выводить их из-под контроля, создавая аварийные и опасные ситуации.

В конце 2024 года на одном из теневых форумов было размещено объявление о продаже данных и доступа к панели управления бразильской компании Nuclep, специализирующейся на производстве и поставке оборудования и технологий для различных отраслей, включая энергетическую, нефтегазовую и оборонную. Данные, оказавшиеся у киберпреступников (250 ГБ), включали файлы с чувствительной информацией по ядерной инженерии для военных и оборонных разработок. Помимо этого, база украденных данных содержала чертежи подводных лодок, выполненных в AutoCAD, видео и изображения, касающиеся добычи урана, сведения по нефте- и газодобыче, значимые географические координаты, а также сведения о сотрудниках (имена, эл. адреса, пароли и т. д.). Стоимость базы данных составила 5000 $, стоимость доступа к панели управления — 15 000 $. Опасность утечки такой информации в том, что она содержит конфиденциальные данные, относящиеся к военной и оборонной отраслям, и в том, что она может позволить злоумышленнику воздействовать на промышленную инфраструктуру — вывести ее из строя или нарушить ее корректную работу. Наличие доступа также оставляет возможность для дальнейшего сбора конфиденциальной информации и ее компрометации.

Тогда же было опубликовано объявление о продаже доступа к GitLab и VNet VPN крупнейшей (что подтверждается суммой revenue в 102,4 млрд $) бразильской нефтегазовой компании Petrobras, контролируемой государством. Стоимость доступов — от 0,8 до 1 BTC (порядка 83 000–104 000 $).

Получение злоумышленниками таких доступов открывает им возможность для получения доступа к исходному программному коду некоторых решений с возможностью последующего внедрения вредоносного кода, уязвимостей и бэкдоров, раскрытия конфиденциальной информации. Под угрозой также оказываются связанные с Petrobras компании, точкой проникновения в инфраструктуру которых как раз может стать доступ к VNet VPN.

Государственные, финансовые и медицинские учреждения хранят большие объемы чувствительной информации, кража или шифрование которой может быть либо монетизирована киберпреступниками, либо использована для таргетированных кибератак.

Бразильская реабилитационная клиника Clinica Um Novo Amanhecer, специализирующаяся на лечении наркозависимых, стала жертвой утечки FTP-доступа к ее инфраструктуре. Обладая таким доступом, злоумышленник может перехватить связь между клиентом и сервером, изменить данные во время передачи или вставить вредоносное содержимое в файлы, что может повлиять на лечение пациентов и нарушить конфиденциальность в отношении их личности и медицинского диагноза.

В некоторых объявлениях нет информации о том, для какой конкретно компании был получен доступ. Так, в одном объявлении за 50 000 $ продается доступ (C2, shell, облачный доступ и не только) к инфраструктуре одной из крупнейших компаний Бразилии, работающей в сфере финансовых услуг, электричества, нефти и газа, энергетики, инвестиций и прочего. Автор объявления утверждает, что инфраструктура компании включает 1400 устройств, а число сотрудников превышает 800 человек. 

Таким образом, добыча и последующая продажа доступов представляет собой весьма прибыльный бизнес, учитывая, что их стоимость может достигать 70 000 $ (с учетом курса биткоина).

В свою очередь, раздача доступов наблюдается значительно реже, при этом сами доступы имеют куда меньшую ценность. В основном это низкоуровневые доступы к веб-панелям, которые могли быть получены киберпреступниками без особых трудозатрат, например путем брутфорса паролей. Если хакер, получивший доступ, не находит в нем ничего полезного или просто не заинтересован в последующей реализации кибератаки на организацию, он может распространить его бесплатно. Вместе с этим раздавать доступы могут и хактивисты и те, кто стремится повысить свой рейтинг на теневом рынке. 

Почти половина кибератак на государственные системы Бразилии в 2024 году, обнаруженных бразильским центром обработки и реагирования на инциденты безопасности CTIR Gov (Centro de Tratamento e Resposta a Incidentes Cibernéticos do Governo), сопровождалась утечкой данных, что позволяет предположить появление большого числа объявлений на теневых форумах относительно бразильских госучреждений. Это подтверждается анализом теневых форумов: свыше 10% всех объявлений на проанализированных теневых ресурсах связана с госучреждениями.

Преобладающая категория последствий (43%) — утечка конфиденциальной информации в виде баз данных и доступов, за ней следует нарушение основной деятельности госучреждений через дефейс сайтов и DDoS-атаки (33%). Это согласуется с ключевыми последствиями успешных кибератак для всей Латинской Америки.

Аналогичная картина наблюдается на теневых ресурсах, где совокупная доля объявлений о раздаче/продаже различной информации (персональных данных или документов) и доступов, относящихся к госучреждениям, составляет 43%, опережая долю объявлений об успешных дефейсах сайтов госучреждений (31%). Например, в одном объявлении продается база данных MySQL и доступ к внутренней сетевой инфраструктуре военной полиции бразильского штата Мараньян. Сведения о полицейских составляют 14 186 строк и включают их имена, регистрационные номера, логины, пароли и уровни доступа.

В январе текущего года на одном из теневых форумов было опубликовано объявление о продаже базы данных и исходных текстов сайтов центрального агентства государственной системы охраны окружающей среды Бразилии (SEMA). Стоимость ресурсов составляла 500 $, база данных объемом свыше 1,7 ГБ включала пользовательские данные, параметры конфигурации сайта и прочее, объем исходных текстов составлял 321 МБ.

Для объявлений, касающихся госучреждений и связанных с ними сущностей, характерно то, что среди них встречаются не только объявления о продаже/раздаче данных, но и объявления о результатах успешных кибератак: дефейсах сайтов, DDoS-атак, найденных уязвимостях. Это говорит о том, что госучреждения в Бразилии, как и во всем мире, атакуют не только финансово мотивированные киберпреступники, но и хактивисты, а также начинающие киберпреступники, стремящиеся завоевать авторитет в теневом сообществе.

Так, в конце ноября 2024 года на одном из теневых форумов было опубликовано объявление о распространении SQL-уязвимости для сайта города и муниципалитета Кампинас (штат Сан-Паулу). Автор объявления даже опубликовал шаблон запроса, эксплуатирующего уязвимость, с указанием, куда добавлять полезную нагрузку.

Дефейсу подвергаются различные государственные сайты, например одна кибератака затронула сайт Министерства сельского хозяйства Бразилии. Это подчеркивает, что целью подобных атак зачастую является не нанесение прямого ущерба организации, а возможность сделать определенное заявление.

В целом анализ теневых рынков для бразильских госучреждений показывает корреляцию с ключевыми последствиями кибератак во всем латиноамериканском регионе: утечка конфиденциальных данных и нарушение основной деятельности как раз проецируются на объявления о продаже/раздаче баз данных и о дефейсах, DDoS-атаках и уязвимостях веб-ресурсов таких организаций.

Велика доля объявлений о продаже/раздаче данных, содержащих отсканированные документы (паспорта, водительские удостоверения) и селфи (фото и видео), используемые для верификации аккаунтов.

Такие объявления могут затрагивать не только Бразилию, но и целый ряд стран, а отсканированные документы дополняются селфи. Они часто используются для подтверждения личности пользователя, особенно в финансовых или государственных сервисах. Кроме этого, селфи могут использоваться для двухфакторной аутентификации.

Встречаются также фото людей, держащих свои паспорта в руках в раскрытом виде, что подтверждает их использование для верификации своих аккаунтов.

Такие данные могут быть использованы различным образом:

1. Для кибермошенничества. Злоумышленники могут совершить кражу личности: используя сканы украденных документов, они могут выдавать себя за жертву при совершении, например, финансовых операций (открытии банковских счетов, получении кредитов). Вместе с этим личные данные могут быть использованы для получения доступа к аккаунтам в соцсетях, электронной почте, а также к финансовым ресурсам жертвы.
2. Для реализации кибератак методами социальной инженерии. С использованием таких документов и фото злоумышленники могут создавать фальшивые профили в соцсетях и, выдавая себя за жертву, получать от ее контактов больше информации о ней же (или о ее контактах).
3. Для доступа к защищенным системам, требующим подтверждения личности (если они не используют дополнительные меры защиты, например многофакторную аутентификацию).
4. Для обхода биометрических систем, что особенно значимо в контексте бразильского бума инвестирования в биометрические стартапы и разработки. Злоумышленники могут использовать изображения для создания дипфейков, масок, 3D-моделей, позволяющих обмануть систему. Следует отметить, что для современных бразильских биометрических систем все же характерно некоторое несовершенство. Так, в 2023 году в Бразилии арестовали вора, который, по данным полиции Сан-Паулу, использовал фотографии владельцев банковских счетов, наложенные на манекен, чтобы обойти функцию распознавания лиц в приложении для мобильного банкинга и брать кредиты от их имени. Учитывая, что 7 из 10 бразильских банков в 2024 году начали внедрение биометрии лица, тенденция вызывает опасения по поводу увеличения числа будущих киберугроз для финансовой инфраструктуры Бразилии.

Помимо увеличения числа кибератак на Латинскую Америку в целом, в феврале текущего года в Бразилии был зафиксирован рекордный показатель для атак с использованием шифровальщиков: более 960 кибератак за месяц. Удивителен тот факт, что жертвами вымогателей становились крупные бразильские компании, обладающие и бюджетом на кибербезопасность, и большими IT-командами. Это еще раз подчеркивает специфику процесса цифровизации в Бразилии, относящейся к развивающимся странам.

Несомненно, атаки шифровальщиков не могли не найти отражения на теневых рынках. Среди группировок, публиковавших там объявления об успешных атаках, выделяются три группировки вымогателей: RansomHub (14% атак), LockBit3 (13%) и ArcusMedia (6%).

Группировка RansomHub считается преемником известной группировки вымогателей Knight, она работает как ransomware-as-a-service с моделью предоплаты для партнеров. По той же сервисной модели работает группировка LockBit, добившаяся успеха в своей киберпреступной деятельности благодаря инновациям и постоянному развитию административной панели группы и вспомогательных функций RaaS. Группировка обладает широким арсеналом TTP, используемых для развертывания и выполнения программ-вымогателей. ArcusMedia в первую очередь атакует такие страны, как Бразилия, США, Колумбия, Великобритания и Италия, нацеливаясь на отрасли, связанные с программным обеспечением, финансами, транспортом и телекоммуникациями.

Как и в случае с анализом теневых площадок по всей Латинской Америке за 2023–2024 гг., в большей части объявлений относительно Бразилии злоумышленники заявляют о том, что смогли реализовать кибератаку на ту или иную компанию. Как правило, это делается для привлечения внимания общественности и демонстрации масштабов деятельности киберпреступников.

Впоследствии они могут опубликовать объявление о продаже или раздаче украденных данных. Так, за скомпрометированные данные крупнейшей в Латинской Америке компании в сфере водоснабжения и водоотведения Sabesp вымогатели из RansomHouse запросили 6 млрд $. Учитывая, что компания обеспечивает водой 26,7 млн человек (60% населения штата Сан-Паулу), приостановка ее деятельности имела критическое значение для всей страны.

Данные промышленных компаний особенно ценны, поскольку их шифрование приводит к приостановке технологических процессов и производства, вследствие чего компании терпят огромные убытки.

Годовой доход бразильского подразделения Toyota группировка Hunters оценила в 1,6 млрд $. Скомпрометированная информация включала сведения о сетевой инфраструктуре, внутренний документ по безопасности, контракты компании, финансовую информацию, а также информацию, составляющую коммерческую тайну.

Шифровальщики остаются одной из наиболее актуальных киберугроз не только для Бразилии и Латинской Америки, но и для всего мира. Для Бразилии как для страны, претерпевающей цифровую трансформацию, темп которой опережает скорость обучения населения кибергигиене и скорость подготовки достаточного количества квалифицированных специалистов по кибербезопасности, первостепенной задачей является обеспечение качественного уровня защиты информационной инфраструктуры от киберугроз. 

Для технического и цифрового развития Бразилии сегодня характерно значимое противоречие: высокая скорость цифровизации всех отраслей деятельности и большое количество цифровых услуг, предоставляемых населению, как государственных, так финансовых и медицинских, сопровождается низким уровнем цифровой грамотности населения по сравнению с другими странами.

Это противоречие порождается недостаточностью нормативных и образовательных мер по кибербезопасности, реализуемых в стране, и оказывает огромное влияние не только на население, уязвимое перед лицом киберугроз, но и на государство и бизнес, чья информационная инфраструктура и переведенная «в цифру» информация слабо защищены от современных киберугроз. В ближайший год в Бразилии не ожидается снижения доли утечек конфиденциальной информации.

Развитие цифрового ландшафта Бразилии отчасти находит свое отражение на теневых рынках киберпреступных услуг, которые также претерпевают трансформацию. Мы предполагаем, что для теневых рынков следует ожидать следующих тенденций:

1. Продолжение укрепления сервисной модели и расширения спектра киберпреступных услуг, снижающих требования к квалификации злоумышленников.
2. Увеличение доли кардинга и фишинга за счет активной цифровизации финансовой отрасли.
3. Сохранение стабильно высокой доли атак на госучреждения и сопровождающих их объявлений на теневых форумах, причем, как и сейчас, разноплановых: от продажи баз данных и документов до раздачи уязвимостей для государственных сайтов и порталов.
4. Рост числа атак на биометрические системы аутентификации, что подчеркивается, с одной стороны, инвестициями в эту отрасль и активным ростом рынка, а с другой — тенденцией к продаже фото и видео жителей страны. Эти данные могут быть использованы для обхода систем биометрической защиты, а также для реализации таргетированных атак.
5. Продолжение тенденции к разделению труда в части доступов к инфраструктуре бразильских организаций, сопровождаемой преобладанием доли продаваемых доступов над долей раздаваемых бесплатно.
6. Сохранение высокой активности группировок вымогателей, публикующих на теневых форумах объявления об успешной реализации кибератак, стоимости и сроках выплаты выкупа для жертв.

Рекомендации по повышению уровня киберзащищенности в Бразилии носят комплексный характер и требуют единовременного сочетания организационных, технических и социальных мер:

1. Развития нормативно-правовой базы в области кибербезопасности, в том числе направленного на унификацию стандартов и привлечение квалифицированных специалистов по кибербезопасности.
2. Определения недопустимых событий, позволяющих сосредоточиться на проблемах и рисках, характерных для отдельных отраслей и в дальнейшем компаний, выявить наиболее ценные ресурсы и сконцентрировать на них усилия по защите.
3. Внедрения современных комплексных решений по защите от киберугроз, в частности рекомендуется использовать сканеры уязвимостей, обладающие обширной и регулярно обновляемой базой уязвимостей и способные приоритизировать их по уровню опасности, в сочетании с NTA-решениями, которые анализируют сетевой трафик и выявляют попытки вторжения злоумышленников в инфраструктуру.
4. Обновления и развития образовательных программ по кибербезопасности для подготовки более высококвалифицированных специалистов, способных обеспечить защиту инфраструктур, адекватную современным киберугрозам.
5. Повышения уровня цифровой грамотности населения страны, включая не только специалистов, работающих в области кибербезопасности, но и обычных пользователей.

Данные и выводы, представленные в этом отчете, основаны на собственной экспертизе Positive Technologies, а также анализе общедоступных ресурсов, включая публикации правительственных и международных организаций, научно-исследовательские работы и отраслевые доклады.

По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание организаций и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

В нашем отчете каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная, а не как несколько атак. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.

Наша база инцидентов регулярно обновляется. Следует отметить, что информация о некоторых инцидентах может поступать в сеть значительно позже фактического времени кибератаки. Таким образом, данные, представленные в этом исследовании, актуальны на момент его публикации.