Компания Dell SecureWorks выпустила новый отчет о подпольных рынках хакерских услуг. В исследовании говорится о том, что хакеры активно повышают качество услуг и масштабно их продвигают.
Аналитики компании сфокусировались на активности и предложениях на подпольных форумах и рынках по всему миру, особенно на англоязычных и российских.
Специалисты организаций по кибербезопасности постоянно следят за хакерами и мошенниками в «темных углах» интернета, вычисляют преступников и передают информацию для поимки спецслужбам. Но далеко не всех нарушителей удается привлечь к ответственности, особенно если речь идет о мелких кражах и взломах.
Недооцененная угроза может быстро превратиться в огромную «пробоину» со всеми вытекающими последствиями. Поэтому людям и целым компаниям важно понимать происходящее и делать соответствующие выводы.
Многие пользователи убеждены, что для отражения атак достаточно антивирусных программ, а сложные пароли защитят аккаунты в социальных сетях и почтовых сервисах.
На самом деле если кто-то решит получить закрытую информацию, чтобы потом украсть деньги у отдельного пользователя или целой компании, то среднестатистический человек вряд ли это заметит и сможет самостоятельно разобраться в проблеме.
Ни антивирус, ни файервол не спасут.
Как отмечают эксперты Dell SecureWorks, российские хакеры увеличивают количество рабочих часов и предлагают проводить сделки через поручителей-посредников, которые обеспечивают успешное выполнение задачи и перевод денег. Также специалисты компании заметили снижение цен на некоторые услуги киберпреступников по сравнению с запросами в предыдущие годы. Это связывают с понижением затрат на взлом.
«Я не сказал бы, что услуги хакеров падают в цене. Снижение рыночной стоимости означало бы падение спроса на их услуги, но, к сожалению, это не так. Параллельно с развитием IT-сферы движется индустрия информационной безопасности и помогает как компаниям, так и обычным людям (вспомните недавнюю новость про включение шифрования в WhatsApp) выстраивать эшелонированную защиту против киберпреступников. В этих условиях злоумышленникам приходится глубже и серьезнее прорабатывать схемы атак для того, чтобы получить интересную и выгодную для них информацию», — прокомментировал Виктор Ивановский, менеджер по развитию глобального бизнеса компании Group-IB.
Недорого и эффективно
Согласно материалам исследования, в среднем за взлом корпоративной почты хакеры требуют $500, за определение IP-адреса — $90. Кроме того, нелегальные «предприниматели» предлагают купить набор вирусов-троянов за $5–10 или эксплойт-киты для взлома от $100 до $135.
Сами по себе продаваемые на подпольных рынках вирусы простые — их вычислят и нейтрализуют антивирусы.
Чтобы усложнить жизнь цифровой защите, взломщики создают шифраторы вирусов, которые серьезно маскируют вредоносный код. Такой шифратор хакеры предлагают за $80–440 в зависимости от сложности.
Кроме того, мошенники обещают взломать любой сайт и украсть оттуда нужную информацию за $350, а затем за $20 собрать персональные данные на человека.
Помимо стандартных услуг в даркнете ходят объявления о продаже наборов обучающих курсов и множество разных услуг по «обрушиванию» серверов.
Как они это делают
Как пояснил Виктор Ивановский, для сбора информации злоумышленники предпочитают полагаться прежде всего на цифровые инструменты — вирусы, собирающие снимки экрана, файлы с рабочих станций, SMS и телефонные переговоры, текст, набираемый на клавиатуре.
«В совокупности с приемами социальной инженерии и инструментами удаленного доступа это дает преступникам возможность производить атаки, приводящие к потерям в десятки миллионов долларов. Это гораздо проще для реализации и масштабирования, а также менее рискованно по сравнению с инсайдерской деятельностью», — отметил Ивановский.
Близкий к теме источник рассказал «Газете.Ru», что наборы вирусов, шифраторы, номера карт, пароли и данные компаний на самом деле можно было найти в избытке и до существования даркнета.
Хакеры оценивают не только тип интерфейсов веб-сервисов, но и серверов, а также анализируют потоки пользователей и данных.
«После подобного исследования становится понятно, на какие из перечисленных узлов проще найти уязвимости, а на какие — сложнее», — рассказал источник.
По его словам, в даркнете есть поставщики эксплойтов и списки уязвимостей, однако не все это обязательно публикуется. Существует стадия проверки и поиска покупателей конкретной уязвимости в лице создавшей программу или сервис компании, ее конкурентов и компаний по IT-безопасности. Крупные компании в качестве вознаграждения часто предлагают работу.
По мнению анонимного источника,
экономика «теневого» интернета больше заточена под мелкие и «серые» дела, а на серьезные взломы чего-то защищенного покупателей вряд ли удастся найти: слишком дорого и опасно для аудитории таких сайтов.
«Серьезные ребята из старых и новых групп общаются друг с другом в зашифрованных мессенджерах, при этом узнать друг о друге они могут из официальных конкурсов на взлом и прочих подобных мероприятий. Очень многие познакомились вокруг криптоанархических или киберкоммунистических проектов», — объяснил он.
Даркнет больше не «темный»
Один из продавцов популярного подпольного рынка рассказал «Газете.Ru», что, по его мнению, на этих площадках складывается типичная ситуация: с расширением объемов увеличивается количество не только услуг высокого уровня от «признанных» поставщиков, но и большое количество низкокачественных обучающих курсов или бесплатных руководств по взлому.
При этом в поле незаконной деятельности работают все те же рыночные законы: жесткая конкуренция между мошенниками заставляет их работать над дизайном и функциональностью подпольных бирж.
«Сегодня даркнет, или как вам угодно его называть, больше не такой уж и «темный».
Содержание анонимной биржи — это практически открытие обычного онлайн-магазина, но с рядом угроз, о которых нужно заботиться, хакерами, мошенниками и государственными службами, которые доказали свою способность успешно закрывать эти сервисы и биржи», — прокомментировал продавец.
Научный сотрудник и профессор Университета Карнеги — Меллон, долгое время занимающийся изучением анонимных рынков даркнета, Николя Кристин отмечает, что методика исследования Dell SecureWorks оставляет ряд вопросов, но в целом тренды описаны в верном направлении.
«Основные тренды, о которых они говорят, — профессионализация и улучшение качества услуг, — совсем не кажутся мне необычными, учитывая, что в целом на рынке повышается конкуренция и каждый участник должен выделить себя на фоне остальных. Но основной же вопрос этого отчета, есть ли разница между рекламируемыми и фактическими качеством и ценой, остается открытым», — прокомментировал «Газете.Ru» Николя Кристин.
Как защищаться
«Мировые тенденции и опыт наших коллег в борьбе с киберпреступниками показывают, что сейчас для эффективного противодействия нет ничего важнее информации. Информации об их активности, о ведущихся ими разработках, о преступных схемах и способах организации атак, о том, как они ведут разведку и как производят подготовку к операциям. Эти данные, которые добывают аналитики, инженеры, специалисты групп расследований, помогают представителям правоохранительных органов и организаций выходить на реальных исполнителей и организаторов киберпреступлений», — рассказал Виктор Ивановский.
Эксперты Group-IB в своем последнем отчете о деятельности хакерских групп прогнозируют, что
злоумышленники и мошенники нацелились на мобильные платформы.
Одним из основных способов проникновения в банковскую сеть остаются фишинговые письма с вложенными эксплойтами, документами с макросами или исполняемыми файлами в архиве с паролем, говорится в отчете Group-IB.
Специалисты рекомендуют следующие меры защиты: обучаться и повышать знания об угрозах, использовать двухфакторную аутентификацию, сохранять копии всех документов, шифровать переписку в электронной почте, по возможности не использовать одно и то же устройство для общения и банковских операций, обязательно следить за обновлениями антивирусов и операционной системы, быть внимательными, не устанавливать незнакомые расширения, программы «ускорения загрузки» и прочие подобные вещи, особенно бесплатные.
Компании должны обязательно следить за возможными слабыми местами в сети, привлекать экспертов для исследования и защиты, устанавливать системы обнаружения и предотвращения проникновений, проводить сканирование уязвимостей, отслеживать активность внутри сети и сократить количество пользователей с правами администратора.
«Если смотреть на короткий момент времени, то баланса нет: рынок IT и разработчики реагируют на крупные уязвимости только по факту и достаточно поздно. Это также видно по эволюции шифрования. Если же рассматривать долгосрочную перспективу, то баланс существует: пользователям нужна безопасность, и они доверяют сервисам с хорошей репутацией, поэтому рынок безопасности совершенствуется. Но он всегда опаздывает за взломами и даже за информацией об уязвимостях», — отмечает источник, говоря о балансе в кибербезопасности.