• Главная
  • Исследования
  • Аналитика
  • Доступ на продажу

Доступ на продажу

Дата публикации 27 апреля 2020
  • Корпоративная инфраструктура

Одной из причин ежегодного роста числа кибератак (за 2019 год на 19%¹) мы называем легкий вход в мир киберпреступности. Это стало возможным благодаря развитию множества нелегальных площадок на теневом рынке киберуслуг. Сформировалось предложение вредоносного ПО и услуг, которые применяются для проникновения в корпоративную сеть. А низкоквалифицированные хакеры быстро научились использовать эти инструменты.

В данной статье мы расскажем о том, что такое «доступ на продажу» и «партнерская программа шифровальщика», покажем актуальность этих угроз и поясним, какие риски они могут нести бизнесу.

Что такое доступ к сети

Доступ как объект продажи на теневом рынке — это собирательное понятие, включающее в себя ПО, эксплойты, учетные данные и все остальное, что позволяет несанкционированно управлять конкретным удаленным компьютером или множеством компьютеров. Если один злоумышленник взломал сайт, веб-сервер, базу данных или рабочую станцию, то говорят, что у него есть доступ. Такой доступ можно передать (продать) третьим лицам, как ключи от квартиры. Далее в статье речь пойдет только о доступах к серверам и рабочим станциям.

Рынок доступов

По нашим наблюдениям, еще год или два назад злоумышленников интересовали доступы к единичным серверам, которые скупались на теневом рынке по цене до 20 долларов.

Рисунок 1. Продажа доступов под шифровальщик к удаленным ПК
Рисунок 1. Продажа доступов под шифровальщик к удаленным ПК

Но уже со второй половины 2019 года мы видим, как на специализированных хакерских площадках² растет число новых тем, посвященных покупке досту­пов к локальной сети компаний.

Рисунок 2. Количество новых веток на теневых форумах, посвященных доступам к корпоративным сетям
Рисунок 2. Количество новых веток на теневых форумах, посвященных доступам к корпоративным сетям

Появились скупщики, которые предлагают пользователям значительно бо­лее выгодные условия, а также постоянное сотрудничество. К примеру, если взломана инфраструктура компании с годовым доходом от 500 миллионов долларов, предлагается доля от потенциальной прибыли после завершения атаки, размер которой может доходить до 30%.

Рисунок 3. Покупка доступов в сети компаний
Рисунок 3. Покупка доступов в сети компаний

За спросом подтянулось предложение. Уже в конце 2019 года открыто прода­вались более 50 доступов в сети крупных компаний со всего мира, а к концу марта их число превысило 80. Среди жертв значились организации с годо­вым доходом от сотен миллионов до нескольких миллиардов долларов.

Рисунок 4. Распределение взломанных организаций по отраслям
Рисунок 4. Распределение взломанных организаций по отраслям
Рисунок 5. География взломанных компаний
Рисунок 5. География взломанных компаний

При этом в случае США чаще всего продаются доступы в организации сферы услуг (20%), промышленные компании (18%) и государственные учреждения (14%). В Италии отрасли, доступы в компании которых продаются чаще всего, иные: промышленность и сфера услуг в 25% и 17% случаев соответственно. В Великобритании: сфера услуг (33%), наука и образование (25%), финансовая отрасль (17%). В Бразилии в 20% случаев речь идет о продаже доступа к се­тям государственных учреждений и в 10% — медицинских. По 29% всех про­ даваемых доступов в немецкие компании приходится на сферу ИТ и сферу услуг. Прямых свидетельств продажи доступов в российские организации не зафиксировано, однако надо учитывать, что 17,5% всех подобных предложе­ний на теневом рынке не имеют географической привязки, а также что часть данных продаются и покупаются вообще без подобных объявлений.

Продавцы оценивали свой товар в суммы от 500 до 100 000 долларов. Средняя стоимость привилегированного доступа к локальной сети сейчас составляет порядка 5000 долларов.

Рисунок 6. Предложения о продаже доступов к сетям на теневом рынке
Рисунок 6. Предложения о продаже доступов к сетям на теневом рынке
Рисунок 7. Стоимость некоторых доступов доходит до 100 тысяч долларов
Рисунок 7. Стоимость некоторых доступов доходит до 100 тысяч долларов

Раньше низкоквалифицированным злоумышленникам было сложно монети­зировать свои атаки, ведь у них недостаточно навыков, чтобы после проник­новения развить атаку до получения какой­-либо ценной информации или вывода денег. Теперь же, с появлением спроса на доступы, у них появился постоянный источник дохода.

Покупателями выступают другие злоумышленники. Они могут либо сами развить атаку до интересующих их бизнес­-систем, либо нанять команду бо­лее квалифицированных хакеров, которые за короткое время смогут полу­чить привилегии администратора домена и разместят вредоносные файлы на критически важных для жертвы серверах.

Рисунок 8. Продажа доступа к сети госорганизации с правами администратора домена
Рисунок 8. Продажа доступа к сети госорганизации с правами администратора домена

Одними из первых такую схему взяли на вооружение операторы шифро­вальщиков, скупая доступы за фиксированную плату у одних преступников и нанимая других уже для размещения ВПО в локальной сети за высокий процент от полученного с жертвы выкупа. На теневых форумах такая схема получила название «партнерская программа шифровальщика» (ransomware affiliate program).

Рисунок 9. Поиск хакеров для атаки на компании на этапе постэксплуатации
Рисунок 9. Поиск хакеров для атаки на компании на этапе постэксплуатации

Чем это грозит организациям

Мы ожидаем, что в ближайшее время крупные организации могут попасть под прицел низкоквалифицированных нарушителей, которые нашли способ легкого заработка. Количество внешних атак на инфраструктуру организаций существенно вырастет. Эта проблема особенно актуальна сейчас, когда множество компаний в спешке переводят сотрудников на удаленную работу. Хакеры будут искать любую незакрытую брешь в системах на периметре сети, например забытое незащищенное веб-приложение, необновленное ПО или некорректно сконфигурированный сервер со слабым паролем администратора. Чем крупнее взломанная компания и чем выше полученные привилегии, тем более выгодную сделку может провести преступник.

Распространено мнение, что проблема кибератак со стороны низкоквалифицированных хакеров (так называемых скрипт-кидди 3) более актуальна для небольших компаний, которые не готовы вкладывать значительные средства в защиту своих ресурсов. Крупные организации вкладывают гораздо больше средств в информационную безопасность и, казалось бы, должны быть лучше защищены. Но наш опыт тестов на проникновение демонстрирует уязвимость даже крупных компаний. Наши эксперты находят простые способы проникновения в локальную сеть, не требующие высокой квалификации от потенциального злоумышленника. Логично предположить, что средний и малый бизнес находятся в еще большей опасности ввиду того, что имеют меньше возможностей для защиты.

Мы хотим обратить внимание организаций, что следует уделять внимание комплексной защите инфраструктуры — как на сетевом периметре, так и в локальной сети. Мы рекомендуем убедиться, что все сервисы на периметре сети защищены, а в локальной сети обеспечен достаточный уровень мониторинга событий безопасности для выявления нарушителя. А регулярный ретроспективный анализ событий безопасности позволит обнаружить пропущенные ранее кибератаки и устранить угрозу до того, как злоумышленники украдут информацию или остановят бизнес-процессы.

  1. ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2019/
  2. Мы изучили 190 площадок в дарквебе, где представлены предложения о покупке и продаже инструментов, используемых в кибератаках, а также объявления о заказной разработке вредоносного ПО. В числе исследованных теневых ресурсов форумы, специализированные маркетплейсы и чаты преимущественно с русско- и англоговорящей аудиторией. Средняя общая посещаемость ресурсов — более 70 млн человек в месяц.
  3. Люди, которые используют программы, разработанные другими, для атак на компьютерные системы и сети и для повреждения веб-сайтов. Обычно считается, что большинство их — подростки, которым не хватает способностей самостоятельно писать сложные программы или создавать эксплойты, и что их цель — произвести впечатление на своих друзей или завоевать репутацию среди компьютерных энтузиастов. Тем не менее термин фактически обозначает нарушителей любого возраста.
Скачать PDF
Статьи по теме
  • 27 июля 2022 Буткиты: эволюция и способы обнаружения
  • 12 августа 2020 Уязвимости периметра корпоративных сетей
  • 3 сентября 2020 Выявление инцидентов ИБ с помощью SIEM: типичные и нестандартные задачи, 2020
Поделиться:
Ссылка скопирована
Статьи по теме
11 октября 2022

Рынок киберпреступных услуг в Telegram

7 октября 2022

Как изменилась работа с уязвимостями в 2022 году

30 апреля 2020

Как организована удаленная работа в России и странах СНГ

Вернуться к выбору статей
Решения
  • PT XDR
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
  • Безопасность Linux-систем
  • Выполнение Указа № 250
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • MaxPatrol O2
  • PT MultiScanner
  • ПТ Ведомственный центр
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
  • PT Platform 187
  • XSpider
  • PT Sandbox
  • PT Threat Intelligence Feeds
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Авторизованные учебные центры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Мероприятия
  • Вакансии
  • Новости
  • Пресс-центр
  • Контакты
  • Документация и материалы
  • Долговые инструменты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2023.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2023.
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта