Рынок преступных киберуслуг

  • Киберугрозы/инциденты
  • Бизнес-аналитика

Введение

Сегодня в новостях можно прочитать про финансовый ущерб той или иной организации от хакерской атаки или об утечке сотен тысяч учетных записей пользователей какого-нибудь ресурса. При этом не получится найти сообщения о том, сколько стоило проведение такой атаки, или о том, насколько сложно было ее реализовать. Но ведь работа, в том числе и работа киберпреступников, направлена на получение прибыли, и если затраты сравнимы или же превышают возможную выручку, хакер просто переключится на другую, более выгодную задачу.

В нашем недавнем исследовании актуальных киберугроз мы отметили рост числа значимых киберинцидентов: в первом квартале 2018 года их выявлено на 32% больше, чем в первом квартале 2017 года. При этом в атаках с использованием вредоносного ПО в большинстве случаев применялись программы для кражи данных и скрытого майнинга криптовалюты. В то же время в интернете появляется все больше информации о том, что код того или иного трояна выложен в открытый доступ. Именно с возможностью получения готового вредоносного ПО и последующего его использования мы связываем столь существенное увеличение числа атак. Для того чтобы оценить стоимость подобного ПО, сложность его приобретения, а также проанализировать существующие спрос и предложение на рынке, мы провели данное исследование.

Мы детально проанализировали рынок преступных киберуслуг и постарались оценить, нужен ли вообще киберпреступнику широкий спектр специализированных знаний, или для реализации атаки достаточно обратиться к представителям теневого рынка — взломщикам сайтов и серверов, разработчикам и распространителям вредоносного ПО, владельцам ботнетов и другим. В ходе анализа мы неоднократно сталкивались с ситуацией, когда учетные данные для доступа к системам либо веб-шеллы для удаленного управления серверами крупных компаний были выставлены на продажу. Полученную информацию мы оперативно передавали представителям скомпрометированных организаций, предупреждая о необходимости принять меры по защите и провести расследование.

В качестве объектов для исследования мы выбрали 25 наиболее популярных англоязычных и русскоязычных теневых торговых площадок, названия которых мы не раскрываем, с общим числом зарегистрированных пользователей более трех миллионов. Всего проанализировано более 10 000 объявлений, при этом мы не учитывали явно мошеннические предложения, которых на теневом рынке так же много, как и на любом другом.

Мы подсчитали минимальную и среднюю стоимость различных инструментов и услуг, которые продаются на таких площадках, оценили соотношения спроса и предложения, а также полноту представленных услуг и их достаточность для проведения полноценной кибератаки.

Резюме

Современные кибератаки в большинстве своем основаны на использовании не собственных, а купленных и арендованных у третьих лиц разработок и серверов. Это не только снижает порог входа в киберпреступность и упрощает проведение атак, но и существенно затрудняет или делает невозможной точную атрибуцию целевых атак.

На схеме ниже представлены распространенные типы атак, а также рассчитана их минимальная стоимость в долларах США при условии, что все необходимые средства и инструменты организатор атаки приобретет за деньги. Так, например, стоимость целевой атаки на организацию в зависимости от сложности может составлять от 4500 $, включая наем специалиста по взлому, аренду инфраструктуры и покупку соответствующих инструментов. Взлом сайта с получением полного контроля над веб-приложением обойдется всего в 150 $, при этом мы находили объявления с запросами на целевой взлом сайтов, в которых оценка работы доходила до 1000 $.

Исследование показало, что на теневом рынке киберуслуг широко распространены криптомайнеры, хакерские утилиты, ВПО для создания ботнета, RAT и трояны-вымогатели, а основным спросом закономерно пользуются услуги, связанные с разработкой и распространением ВПО. На рынке представлено более 50 различных категорий товаров и услуг, которые в совокупности могут быть использованы для организации любой атаки.

Читать полную версию