Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    PT Industrial Cybersecurity Suite

    Комплексная платформа для защиты промышленности от киберугроз

    Выполнение Указа № 250

    Выполнение требований Указа Президента РФ № 250

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    MaxPatrol VM

    Система нового поколения для управления уязвимостями

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    PT Application Firewall

    Защита приложений от веб-атак

    PT Application Inspector

    Анализатор защищенности приложений

    PT BlackBox

    Динамический анализатор приложений

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    XSpider

    Сканер уязвимостей

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    PT XDR

    Продукт класса Extended Detection and Response для выявления киберугроз и реагирования на них

    PT Threat Intelligence Feeds

    Фиды с экспертными знаниями об угрозах

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Расширенная техническая поддержка

    Сделайте использование продуктов Positive Technologies еще более эффективным и приятным с расширенной технической поддержкой. Наши специалисты могут самостоятельно провести установку и настройку продуктов, оценить эффективность работы и в кратчайшие сроки разобраться с любым обращением от клиентов.

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP-партнеры
    Авторизованные учебные центры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    История
    Клиенты
    Долговые инструменты
    Пресс-центр
    Новости
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
  • Инвесторам
Меню
  • Главная
  • Исследования
  • Аналитика
  • Теневой рынок доступов

Теневой рынок доступов

Дата публикации 18 июня 2021
  • Корпоративная инфраструктура

Информационная безопасность — одно из приоритетных направлений для компаний, а на поддержание ее на достаточном уровне тратится огромное количество ресурсов, в том числе финансовых. Согласно исследованию Gartner, общемировые расходы на информационную безопасность в 2020 году выросли на 6,4% по сравнению с 2019 годом, а главным приоритетом при планировании корпоративного бюджета 61% из более чем 2000 опрошенных IT-директоров назвали инвестиции в ИБ. Однако больших денежных вливаний и найма квалифицированных сотрудников может быть недостаточно.

Общепринятые подходы к оценке угроз предусматривают классификацию потенциальных злоумышленников и построение системы защиты с учетом возможностей определенных типов нарушителей. Существует такая практика, когда компании считают, что они не интересны крупным APT-группировкам и другим злоумышленникам серьезного уровня, а менее подготовленные нарушители не способны причинить ущерб бизнесу. Если неправильно оценить возможности потенциального злоумышленника, то защита окажется неэффективной.

Из-за того, что теневой рынок доступов хорошо развит и широко используется, существовавшая ранее грань между опытными злоумышленниками и низкоквалифицированными — стирается.

Мы уже рассказывали о рынке продажи доступов. В новом исследовании мы оценим, как развивался этот рынок на протяжении 2020 года и в начале 2021 года и какие последствия это несет для бизнеса. Мы проанализировали десять наиболее популярных русскоязычных и англоязычных форумов в дарквебе, где представлены предложения о продаже доступов в компании, объявления о поиске злоумышленников-исполнителей или напарников для взлома. Всего на этих форумах зарегистрировано более 8 млн пользователей, создано более 7 млн тем, в которых опубликовано более 80 млн сообщений.

Как поменялся теневой рынок доступов

Рынок доступов к корпоративным сетям активно формировался в течение последних нескольких лет. О его зрелости уже можно было судить в начале 2020 года. Один из факторов, способствующих такому развитию, — увеличение количества атак с использованием программ-вымогателей: участники партнерских программ шифровальщиков часто пользуются предложениями на рынке доступов.

Историческая справка

Еще лет десять назад на форумах в дарквебе продавались доступы к отдельным компьютерам частных лиц. В основном их скупали мошенники, занимающиеся кардингом, то есть совершающие операции с использованием банковской карты без участия ее владельца. Затем готовые доступы начали приобретать киберпреступники, нацеленные на частных лиц и использующие в своих атаках программы-вымогатели. В какой-то момент распространители шифровальщика приобрели доступ к сети компании, с легкостью провели атаку и получили выкуп: это породило тенденцию к использованию готовых доступов в атаках на организации.

Рисунок 1. Доля атак шифровальщиков среди всех атак на организации с использованием ВПО

Количество новых объявлений на тему доступов на теневых форумах увеличивалось с каждым кварталом на протяжении всего рассматриваемого периода. Чаще всего это были объявления о продаже уже полученных доступов к корпоративным сетям. На протяжении 2020 года мы выявили 707 новых объявлений о продаже доступов. В сравнении с 2019 годом количество новых объявлений увеличилось более чем в семь раз. И за один только I квартал 2021 года было обнаружено уже 590 новых предложений. Число новых объявлений о поиске напарников и злоумышленников-исполнителей также выросло: можно предположить, что это связано с появлением новых партнерских программ шифровальщиков и расширением старых группировок, распространяющих этот тип вредоносного ПО.

Рисунок 2. Количество новых объявлений на теневых форумах, посвященных доступам к корпоративным сетям

Интерес к доступам подтверждается и количеством пользователей, которые размещают объявления о покупке, продаже или сотрудничестве. Относительно I квартала 2020 года в I квартале 2021 года количество пользователей увеличилось в три раза.

Рисунок 3. Пользователи на форумах, размещающие объявления о продаже доступов

В среднем в дарквебе ежеквартально продаются доступы в корпоративные сети на сумму около 600 000 долл. США. Хотя количество предложений на рынке растет, совокупная стоимость изменяется незначительно, что свидетельствует о том, что средняя цена, запрашиваемая за один доступ, снижается. Недорогие доступы, как правило, без привилегий — и чаще всего их продают неопытные злоумышленники, которые опасаются развивать атаку дальше. В целом стоимость доступа обычно зависит:

  • от количества компьютеров, к которым преступник получит доступ;
  • привилегий учетной записи;
  • размера компании;
  • доходов компании и других финансовых показателей;
  • отрасли, к которой принадлежит компания.

Рисунок 4. Примеры объявлений на форуме в дарквебе
Рисунок 5. Совокупная стоимость доступов, продаваемых на форумах в дарквебе

С 2017 года по I квартал 2020 года доля объявлений, где была указана цена менее 1000 долл. США за доступ в одну компанию, составляла 15%, а в период со II квартала 2020 года по I квартал 2021 года она выросла на 30 процентных пунктов и составила уже 45%. Доля дорогих доступов, стоимость которых превышает 5000 долл. США, за тот же период сократилась практически в два раза. Такие изменения могут быть следствием активного выхода на рынок злоумышленников-новичков.

Рисунок 6. Распределение предложений о продаже доступов к сетям компаний по их стоимости

Наш прогноз подтверждается: у злоумышленников появилась новая специализация — «добытчики доступов», и она привлекает новичков легким заработком. Их основная задача — получить первоначальный доступ в сеть компании для последующей реализации на рынке в дарквебе.

Может ли компания выявить факт продажи доступа?

Обнаружить факт компрометации учетных данных можно, к примеру, на этапах верификации доступа продавцом перед продажей (или покупателем — после продажи). Для этого необходимо настраивать средства защиты, в том числе SIEM-системы, средства анализа сетевого трафика, на выявление аномальных подключений к инфраструктуре.

Чаще всего злоумышленники выставляли на продажу доступы к компаниям из сферы услуг (17%), промышленности (14%) и учреждениям в сфере науки и образования (12%). В прошлом рассматриваемом периоде тройка наиболее часто встречающихся отраслей выглядела следующим образом: промышленные компании (16%), предприятия сферы услуг (14%) и финансовые организации (11%). Организации сфере науки и образования занимали четвертое место, и их доля среди всех объявлений о продаже доступов в сети компаний составляла 9%. Отметим, что доля промышленных компаний и финансовых организаций, доступы в которые традиционно стоят дороже, несколько уменьшилась. Мы можем связать это с тем, что рынок доступов наполняется низкоквалифицированными игроками, которые предпочитают жертв «попроще».

Рисунок 7. Распределение взломанных организаций по отраслям

Последствия для бизнеса

Мы видим, что модель нарушителя меняется: внешний нарушитель, который получает первоначальный доступ к сети компании, и нарушитель, который развивает атаку внутри, —абсолютно разные по уровню подготовки. Даже если периметр будет взломан новичком, в локальной сети атаковать будут уже профессионалы. Они обладают всеми ресурсами для достижения цели — реализации самых опасных для компании событий (от кражи денег со счетов до полной остановки бизнес-процессов на длительное время). А значит, и выстраивать систему защиты от кибератак необходимо с учетом новых реалий.

Скачать PDF
Статьи по теме
  • 12 августа 2020 Уязвимости периметра корпоративных сетей
  • 7 октября 2022 Как изменилась работа с уязвимостями в 2022 году
  • 3 сентября 2020 Выявление инцидентов ИБ с помощью SIEM: типичные и нестандартные задачи, 2020
Поделиться:
Ссылка скопирована
Статьи по теме
9 ноября 2021

Как российские компании защищаются от целевых атак

30 марта 2006

Атаки на системы обнаружения беспроводных атак

12 августа 2020

Уязвимости периметра корпоративных сетей

Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
  • Выполнение Указа № 250
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • ПТ Ведомственный центр
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
  • PT Platform 187
  • XSpider
  • PT Sandbox
  • PT XDR
  • PT Threat Intelligence Feeds
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Расширенная техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Авторизованные учебные центры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Долговые инструменты
  • Пресс-центр
  • Новости
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2023.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2023.
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта