Доступ на продажу

Одной из причин ежегодного роста числа кибератак (за 2019 год на 19%¹) мы называем легкий вход в мир киберпреступности. Это стало возможным благодаря развитию множества нелегальных площадок на теневом рынке киберуслуг. Сформировалось предложение вредоносного ПО и услуг, которые применяются для проникновения в корпоративную сеть. А низкоквалифицированные хакеры быстро научились использовать эти инструменты.

В данной статье мы расскажем о том, что такое «доступ на продажу» и «партнерская программа шифровальщика», покажем актуальность этих угроз и поясним, какие риски они могут нести бизнесу.

Что такое доступ к сети

Доступ как объект продажи на теневом рынке — это собирательное понятие, включающее в себя ПО, эксплойты, учетные данные и все остальное, что позволяет несанкционированно управлять конкретным удаленным компьютером или множеством компьютеров. Если один злоумышленник взломал сайт, веб-сервер, базу данных или рабочую станцию, то говорят, что у него есть доступ. Такой доступ можно передать (продать) третьим лицам, как ключи от квартиры. Далее в статье речь пойдет только о доступах к серверам и рабочим станциям.

Рынок доступов

По нашим наблюдениям, еще год или два назад злоумышленников интересовали доступы к единичным серверам, которые скупались на теневом рынке по цене до 20 долларов.

Но уже со второй половины 2019 года мы видим, как на специализированных хакерских площадках² растет число новых тем, посвященных покупке досту­пов к локальной сети компаний.

Появились скупщики, которые предлагают пользователям значительно бо­лее выгодные условия, а также постоянное сотрудничество. К примеру, если взломана инфраструктура компании с годовым доходом от 500 миллионов долларов, предлагается доля от потенциальной прибыли после завершения атаки, размер которой может доходить до 30%.

За спросом подтянулось предложение. Уже в конце 2019 года открыто прода­вались более 50 доступов в сети крупных компаний со всего мира, а к концу марта их число превысило 80. Среди жертв значились организации с годо­вым доходом от сотен миллионов до нескольких миллиардов долларов.

При этом в случае США чаще всего продаются доступы в организации сферы услуг (20%), промышленные компании (18%) и государственные учреждения (14%). В Италии отрасли, доступы в компании которых продаются чаще всего, иные: промышленность и сфера услуг в 25% и 17% случаев соответственно. В Великобритании: сфера услуг (33%), наука и образование (25%), финансовая отрасль (17%). В Бразилии в 20% случаев речь идет о продаже доступа к се­тям государственных учреждений и в 10% — медицинских. По 29% всех про­ даваемых доступов в немецкие компании приходится на сферу ИТ и сферу услуг. Прямых свидетельств продажи доступов в российские организации не зафиксировано, однако надо учитывать, что 17,5% всех подобных предложе­ний на теневом рынке не имеют географической привязки, а также что часть данных продаются и покупаются вообще без подобных объявлений.

Продавцы оценивали свой товар в суммы от 500 до 100 000 долларов. Средняя стоимость привилегированного доступа к локальной сети сейчас составляет порядка 5000 долларов.

Раньше низкоквалифицированным злоумышленникам было сложно монети­зировать свои атаки, ведь у них недостаточно навыков, чтобы после проник­новения развить атаку до получения какой­-либо ценной информации или вывода денег. Теперь же, с появлением спроса на доступы, у них появился постоянный источник дохода.

Покупателями выступают другие злоумышленники. Они могут либо сами развить атаку до интересующих их бизнес­-систем, либо нанять команду бо­лее квалифицированных хакеров, которые за короткое время смогут полу­чить привилегии администратора домена и разместят вредоносные файлы на критически важных для жертвы серверах.

Одними из первых такую схему взяли на вооружение операторы шифро­вальщиков, скупая доступы за фиксированную плату у одних преступников и нанимая других уже для размещения ВПО в локальной сети за высокий процент от полученного с жертвы выкупа. На теневых форумах такая схема получила название «партнерская программа шифровальщика» (ransomware affiliate program).

Чем это грозит организациям

Мы ожидаем, что в ближайшее время крупные организации могут попасть под прицел низкоквалифицированных нарушителей, которые нашли способ легкого заработка. Количество внешних атак на инфраструктуру организаций существенно вырастет. Эта проблема особенно актуальна сейчас, когда множество компаний в спешке переводят сотрудников на удаленную работу. Хакеры будут искать любую незакрытую брешь в системах на периметре сети, например забытое незащищенное веб-приложение, необновленное ПО или некорректно сконфигурированный сервер со слабым паролем администратора. Чем крупнее взломанная компания и чем выше полученные привилегии, тем более выгодную сделку может провести преступник.

Распространено мнение, что проблема кибератак со стороны низкоквалифицированных хакеров (так называемых скрипт-кидди ³) более актуальна для небольших компаний, которые не готовы вкладывать значительные средства в защиту своих ресурсов. Крупные организации вкладывают гораздо больше средств в информационную безопасность и, казалось бы, должны быть лучше защищены. Но наш опыт тестов на проникновение демонстрирует уязвимость даже крупных компаний. Наши эксперты находят простые способы проникновения в локальную сеть, не требующие высокой квалификации от потенциального злоумышленника. Логично предположить, что средний и малый бизнес находятся в еще большей опасности ввиду того, что имеют меньше возможностей для защиты.

Мы хотим обратить внимание организаций, что следует уделять внимание комплексной защите инфраструктуры — как на сетевом периметре, так и в локальной сети. Мы рекомендуем убедиться, что все сервисы на периметре сети защищены, а в локальной сети обеспечен достаточный уровень мониторинга событий безопасности для выявления нарушителя. А регулярный ретроспективный анализ событий безопасности позволит обнаружить пропущенные ранее кибератаки и устранить угрозу до того, как злоумышленники украдут информацию или остановят бизнес-процессы.

1. ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2019/
2. Мы изучили 190 площадок в дарквебе, где представлены предложения о покупке и продаже инструментов, используемых в кибератаках, а также объявления о заказной разработке вредоносного ПО. В числе исследованных теневых ресурсов форумы, специализированные маркетплейсы и чаты преимущественно с русско- и англоговорящей аудиторией. Средняя общая посещаемость ресурсов — более 70 млн человек в месяц.
3. Люди, которые используют программы, разработанные другими, для атак на компьютерные системы и сети и для повреждения веб-сайтов. Обычно считается, что большинство их — подростки, которым не хватает способностей самостоятельно писать сложные программы или создавать эксплойты, и что их цель — произвести впечатление на своих друзей или завоевать репутацию среди компьютерных энтузиастов. Тем не менее термин фактически обозначает нарушителей любого возраста.