Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    PT Industrial Cybersecurity Suite

    Комплексная платформа для защиты промышленности от киберугроз

    Выполнение Указа № 250

    Выполнение требований Указа Президента РФ № 250

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    MaxPatrol VM

    Система нового поколения для управления уязвимостями

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    PT Application Firewall

    Защита приложений от веб-атак

    PT Application Inspector

    Анализатор защищенности приложений

    PT BlackBox

    Динамический анализатор приложений

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    XSpider

    Сканер уязвимостей

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    PT XDR

    Продукт класса Extended Detection and Response для выявления киберугроз и реагирования на них

    PT Threat Intelligence Feeds

    Фиды с экспертными знаниями об угрозах

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Расширенная техническая поддержка

    Сделайте использование продуктов Positive Technologies еще более эффективным и приятным с расширенной технической поддержкой. Наши специалисты могут самостоятельно провести установку и настройку продуктов, оценить эффективность работы и в кратчайшие сроки разобраться с любым обращением от клиентов.

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP-партнеры
    Авторизованные учебные центры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    История
    Клиенты
    Долговые инструменты
    Пресс-центр
    Новости
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
  • Инвесторам
Меню
  • Главная
  • Исследования
  • Аналитика
  • Взлом на заказ

Взлом на заказ

Дата публикации 22 декабря 2020
  • Корпоративная инфраструктура

Содержание

  • Об исследовании
  • Зачем взламывают сайты
  • Кто-то ломает, а кто-то покупает
  • Базы пользователей
  • Сложно ли взломать сайт?
  • Выводы

Об исследовании

С помощью корпоративных сайтов, интернет-магазинов, веб-сервисов бизнес решает множество своих задач. Клиенты регистрируются на этих площадках, оставляя свои персональные данные, совершают покупки, вводя данные банковских карт, а также используют предоставленные ресурсы для хранения или отправки конфиденциальной информации. Очевидно, что к такому объему данных захотят получить доступ не только конкуренты, но и киберпреступники, поэтому сегодня никого не удивишь новостями об очередной утечке персональных данных клиентов крупной компании. Зачастую эти события связаны с успешной атакой на веб-приложения организации, в результате которой злоумышленники получили доступ к базе данных пользователей этого ресурса или похитили другую информацию. Например, в сентябре 2020 года хакеры взломали более 2800 интернет-магазинов на платформе Magento и внедрили вредоносный скрипт, который собирал личную информацию и данные платежных карт клиентов.

В результате взлома сайта могут пострадать и пользователи, и сама компания. Анализ защищенности веб-приложений, проведенный специалистами Positive Technologies, показывает, что в 92% веб-приложений злоумышленник может проводить атаки на клиентов, в 68% случаев возможна утечка важных данных, а в 16% злоумышленник смог бы получить контроль над приложением и ОС сервера.

В данной статье мы расскажем о том, зачем хакеры взламывают сайты, и к каким последствиям для владельца и пользователей ресурса это может привести.

Мы выбрали десять наиболее активных форумов в дарквебе, на которых представлены услуги по взлому сайтов, покупке и продаже баз данных и доступов к веб-ресурсам. Всего на этих форумах зарегистрировано более 8 млн пользователей, создано более 7 млн тем, в которых опубликовано более 80 млн сообщений.

Отметим, что в статье не рассматриваются объявления, связанные с услугами по организации DDoS-атак на веб-ресурсы, так как мотивы, цели и инструменты атакующих или тех, кто их нанял, в этом случае отличаются кардинально и выходят за рамки данного исследования.

Зачем взламывают сайты

В 90% случаев в дарквебе на форумах, посвященных взлому сайтов, ищут исполнителя-хакера, который сможет предоставить заказчику доступ к ресурсу или выгрузит базу пользователей. В 7% записей фигурируют предложения услуг по взлому сайтов. Остальные сообщения направлены на продвижение сервисов и программ для взлома сайтов и поиск единомышленников по взлому.

Под предложениями услуг подразумеваются объявления, опубликованные владельцами сервисов и хакерскими группировками. Они не могут выступать в качестве показателей спроса и предложения, так как зачастую размещаются единожды. О величине спроса на вышеперечисленные услуги можно приблизительно судить только по единичным запросам пользователей, которые по различным причинам не воспользовались информацией о предложениях услуг.

Рисунок 1. Категории запросов, связанных со взломом сайтов

Начиная с марта 2020 года мы наблюдаем укрепление интереса к теме взлома сайтов. К этой тенденции могло привести увеличение количества компаний, представленных в интернете, которое спровоцировала пандемия коронавируса. Организации, ранее работавшие на офлайн-площадках, были вынуждены перейти в онлайн-формат для того, чтобы не потерять клиентов и прибыль, а киберпреступники не могли не воспользоваться этой ситуацией.

На графике ниже приведены данные о количестве новых объявлений на форумах в дарквебе. Объявления размещаются не только новыми участниками, но и хакерами с репутацией. Последние делают это, чтобы напомнить о себе. Узнать, какие объявления дублируются или потеряли актуальность на определенный момент времени, сложно, поэтому мы не приводим количество хакеров или группировок, которые активно предоставляли услуги по взлому в начале 2019 года или занимаются этим сегодня.

Рисунок 2. Количество новых объявлений про взлом веб-ресурсов на форумах в 2019—2020 гг.

Примерно в семи из десяти запросов, касающихся взлома сайтов, основной целью является получение доступа к веб-ресурсу. Злоумышленники могут не только похитить конфиденциальную информацию, но и продать доступ к веб-приложению так называемым скупщикам.

Рисунок 3. Распределение запросов по тематикам

Запросы, направленные на получение баз данных пользователей или клиентов атакуемого ресурса, составляют 21% от всех объявлений. В приобретении такой информации в первую очередь заинтересованы конкуренты и спамеры, которые собирают списки адресов для целевой тематической рассылки, ориентированной на определенную аудиторию.

Рисунок 4. Заказной взлом сайта
Рисунок 5. Сбор сведений с сайтов конкурентов

В 4% запросов основной целью злоумышленников является не взлом сайта, а размещение на нем вредоносных программ, например для проведения атаки типа watering hole или размещения веб-скиммеров. Так, в августе 2020 года APT-группировка Charming Kitten в ходе одной из своих кампаний, направленной на ученых из университетов Хайфы и Тель-Авива, взломала сайт Deutsche Welle для размещения на нем вредоносной ссылки. При переходе по этой ссылке жертве предлагалось пройти процедуру авторизации, а введенные учетные данные отправлялись злоумышленникам.

Рисунок 6. Поиск исполнителя для взлома сайта

На поиск хакера, который сможет взломать сайт и удалить определенные заказчиком данные, направлены 3% объявлений. Например, эта услуга может быть востребована среди тех, кто хочет удалить негативные отзывы о компании, размещенные на неподконтрольных этой компании ресурсах.

Рисунок 7. Объявление о поиске злоумышленника-исполнителя

Предложения о продаже готовых программ и скриптов для взлома встречаются в 2% от общего числа проанализированных запросов.

Кто-то ломает, а кто-то покупает

Ранее мы уже рассказывали о том, что в дарквебе появились «скупщики» доступов к сайтам. Теперь, когда это явление укрепилось, оказалось, что их можно разделить по направлениям. Одни покупают веб-шеллы, другие — доступ к интерфейсам администрирования различных сайтов, а третьи приобретают готовые эксплойты для внедрения SQL-кода применительно к конкретным ресурсам.

Веб-шелл — это загруженный на сервер файл, с помощью которого злоумышленник может выполнить команды ОС на сервере через веб-интерфейс и получить доступ к другим файлам.

Веб-шеллы стоят сравнительно не так дорого, как, например, базы данных, о которых мы расскажем далее, — цены на них варьируются от нескольких центов до тысячи долларов США. В основном это связано с тем, что полученные в результате загрузки веб-шелла привилегии в файловой системе сильно ограничены. Продажа веб-шелла заключается в передаче ссылки на путь к файлу и, возможно, данным для авторизации. Наиболее распространены веб-шеллы на сайтах в доменной зоне .com — 54,3% предложений о продаже.

Рисунок 8. Распределение доменов первого уровня, в которых зарегистрированы сайты с веб-шеллами

Скупщикам в первую очередь приходится следить за тем, что интересно рынку потребителей. Явную отраслевую специфику по продаваемым или покупаемым доступам проследить сложно, однако можно смело утверждать, что доступы к интернет-магазинам («шопам») стоят особняком. Спрос на них стабильно высокий: это обусловлено тем, что при оплате товаров пользователь вносит данные своей банковской карты. Таким образом, хакеру достаточно внедрить на сайте вредоносный код на языке JavaScript, который будет перехватывать вводимую покупателем информацию, и использовать полученные сведения в корыстных целях. Еще один способ нажиться на пользователях это получить привилегированный доступ к интернет-магазину, чтобы оформлять заказы, используя данные чужих банковских карт или вовсе не оплачивая их. Цены на доступы к интернет-магазинам варьируются в диапазоне от 50 до 2000 долл. США.

Рисунок 9. Объявление о покупке доступов к интернет-магазинам

Если веб-сервис размещается на сервере, подключенном к внутренней сети компании, то главный риск для организации заключается в том, что атакующий (или тот, кто купит доступ к серверу через веб-шелл) сможет развить атаку и проникнуть в инфраструктуру компании. Результаты внешних пентестов, проведенных экспертами Positive Technologies в 2019 году, показывают, что в 86% компаний существует хотя бы один вектор проникновения в локальную сеть, который связан с недостаточной защитой веб-приложений. В каждой шестой компании были обнаружены следы атак злоумышленников — выявлены веб-шеллы на ресурсах сетевого периметра, вредоносные ссылки на официальных сайтах или валидные учетные записи в публичных базах утечек.

Доступы к веб-интерфейсам администрирования популярных CMS злоумышленники используют для того, чтобы размещать на них веб-шеллы, вредоносное ПО и использовать их в незаконных рекламных схемах. К примеру, в августе и сентябре 2020 года была замечена серия атак, направленных на сайты ЮНЕСКО, ВОЗ, правительственных организаций, Национального института здравоохранения и крупных образовательных учреждений. На этих ресурсах хакеры разместили фишинговую рекламу инструментов для взлома аккаунтов в известных социальных сетях и читерства в онлайн-играх. Они преследовали две цели: кражу данных платежных карт и распространение вредоносного ПО. Часть пользователей перенаправлялась на страницу оплаты, где нужно было ввести реквизиты карты, а другие сразу загружали вредоносы на свои устройства.

Рисунок 10. Поиск взломщика с целью размещения рекламы

Стоит отметить, что участие сайта в незаконных рекламных кампаниях может негативно сказаться на его позиции в списке выдачи в популярных поисковых системах.

Базы пользователей

Дампы или базы данных со взломанных сайтов могут покупать конкуренты или злоумышленники, которые планируют целевые фишинговые рассылки.

Рисунок 11. Объявление о поиске взломщика сайта

Базы, которые добывают на заказ, стоят от 100 до 20 000 долл. США или от 5 до 50 долл. за 1000 записей о пользователях.

Рисунок 12. Объявления о продаже учетных записей, полученных с помощью фишинга

Записи о пользователях, к примеру, содержат следующую информацию: логин, email, ФИО, номер телефона, адрес проживания, номер социального страхования и дату рождения. Эти сведения могут использоваться для проведения атак с использованием методов социальной инженерии.

Сложно ли взломать сайт?

По результатам анализа защищенности веб-приложений было выявлено, что в среднем в одном веб-приложении имеется 4 уязвимости высокой степени риска и 12 — средней. Даже если не принимать во внимание большое количество уязвимостей, злоумышленники могут воспользоваться методами социальной инженерии и, например, провести целенаправленную фишинговую атаку на администратора ресурса с целью получения учетных данных — логина и пароля. Эти данные позволяют получить доступ к сайту компании.

Рисунок 13. Объявление о взломе сайта на заказ

Основываясь на данных наших исследований, можно сделать вывод о том, что большинство веб-ресурсов недостаточно защищены от воздействия злоумышленников. Также стоит учитывать количество объявлений в дарквебе, в которых предлагаются услуги по взлому веб-сервисов. При желании преступники могут без особых сложностей найти опытного исполнителя или уже готовый инструмент для взлома, например, у скупщика.

Выводы

Услуги по взлому веб-приложений пользуются большим спросом. Объявления о взломе сайтов на заказ не имеют привязки к определенной отрасли, но больше всего клиентов злоумышленников, предоставляющих такие услуги, интересуют интернет-магазины. В первую очередь это связано с тем, что пользователи этих ресурсов оставляют там личные данные и реквизиты банковских карт. Мы считаем, что наметилась определенная тенденция на дальнейшее увеличение спроса, так как все больше компаний переходят в онлайн — этому тренду поспособствовала пандемия COVID-19.

Взлом веб-приложений компании может повлечь за собой глобальные последствия: от утечек данных и санкций за нарушение действующего законодательства (например, GDPR) до проникновения в локальную сеть компании, использования ее ресурсов в последующих атаках — в виде платформы для распространения ВПО или хранения инструментов, которые будут загружены в ходе атаки. При построении системы защиты мы советуем руководствоваться принципами риск-ориентированного подхода, основанного на понимании уровня допустимого для компании негативного эффекта. Проще и дешевле будет превентивно защитить уязвимую часть сети компании, чем оплачивать огромные штрафы и терять свою репутацию.

Чтобы защитить свою компанию, следует придерживаться принципов безопасной разработки и использовать средства автоматизированного анализа исходного кода на предмет ошибок и уязвимостей, так как по результатам анализа защищенности веб-приложений за 2019 год было выявлено, что 82% от числа всех уязвимостей сосредоточены именно в коде веб-приложения. Необходимо регулярно проводить анализ защищенности веб-приложений, а также использовать в качестве превентивной защиты межсетевой экран уровня приложений — web application firewall, WAF.

Скачать PDF
Статьи по теме
  • 15 мая 2018 Уязвимости корпоративных информационных систем, 2018
  • 18 июня 2021 Теневой рынок доступов
  • 30 марта 2007 Атаки на клиентов WEP
Поделиться:
Ссылка скопирована
Статьи по теме
15 мая 2018

Уязвимости корпоративных информационных систем, 2018

27 апреля 2020

Доступ на продажу

30 апреля 2020

Как организована удаленная работа в России и странах СНГ

Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
  • Выполнение Указа № 250
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • ПТ Ведомственный центр
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
  • PT Platform 187
  • XSpider
  • PT Sandbox
  • PT XDR
  • PT Threat Intelligence Feeds
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Расширенная техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Авторизованные учебные центры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Долговые инструменты
  • Пресс-центр
  • Новости
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2023.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2023.
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта