Поделиться
Эксперты F6 проанализировали криминальные сделки в теневом интернете
Компания F6, разработчик технологий для борьбы с киберпреступностью, представила результаты исследования дарквеба, включающего анализ криминальных сделок по продаже доступа к корпоративным сетям, баз данных и вредоносных программ. Дешевле всего на хакерских форумах стоят учетные записи от аккаунтов — в среднем от $10 за шт. Дороже всего — доступы в партнерские программы вымогателей — до $100 тыс., а также 0-day — уязвимости нулевого дня — до $250 тыс. Наиболее востребованными у злоумышленников оказались доступы в корпоративную сеть (Initial Access) — в зависимости от компании-жертвы цены доходят до $10 тыс. Об этом CNews сообщили представители F6.
Теневая экосистема
В отличие от открытой части Всемирной паутины (Surface web) или недоступных краулерам поисковых систем внутренних, корпоративных ресурсов (Deep web), Dark web — это скрытый уровень, который не индексируется обычными поисковыми системами.
Основу инфраструктуры Dark web составляют сайты с доменной зоной .onion, которые доступны исключительно через сеть Tor, и используется для обеспечения анонимности, в том числе для организации криминальных форумов, маркетплейсов, C2-инфраструктуры и других сервисов. При этом значительная доля преступной активности может происходить и за пределами Dark web — в приватных группах, мессенджерах, включая Telegram.
Исследователи подчеркивают, что большинство андеграундных форумов работают в условиях строгой модерации, закрытого членства и системы гарантов, чтобы исключить случаи внутреннего мошенничества при совершении криминальных сделок. Ежедневно в дарквебе публикуются тысячи объявлений, среди которых можно встретить предложения о продаже: скомпрометированных баз данных (массивы корпоративных и пользовательских данных); скомпрометированных учетных записей; доступов в корпоративные сети (VPN, RDP, Active Directory и т.д.); банковской информации; логов, собранных вредоносным ПО; уникальных сборок малвари, эксплойтов для 0-day уязвимостей и актуальных CVE; фишинговых комплектов; DDoS-сервисов; мануалов по мошенническим схемам и обналу и других нелегальных услуг.
Например, стоимость базы с персональными данными — ФИО, адреса, контакты, паспортные данные, ИНН — может варьироваться от $100 до $1000, в зависимости от ее объема, актуальности и «редкости» информации. В отдельном случае злоумышленники просят до $10 тыс., а в исключительных случаях — даже сотни тысяч долларов за чувствительные или эксклюзивные данные. Их могут использовать для последующих каскадных атак на крупные компании.
Большинство украденных у российских компаний баз данных злоумышленники выкладывают в публичный доступ бесплатно — для нанесения максимального ущерба компаниям и их клиентам. В 2024 г. специалистами F6 Threat Intelligence было обнаружено в публичном доступе 455 не опубликованных ранее баз данных компаний из России и Белоруссии (в 2023 г. их было 246). Причем было зафиксировано практически в два раза больше публикаций баз данных в Telegram, чем на тематических форумах.
Доступ как «точка входа»
Как показало проведенное исследование, особым спросом в дарквебе пользуются первоначальные доступы в корпоративные сети, так называемые Initial Access. Их стоимость начинается от $100–200, но может возрастать в разы в зависимости от масштаба организации, отрасли и уровня доступа.
В годовом аналитическом отчете F6 «Киберугрозы в России и СНГ» говорится, что за последние пять лет отмечается рост продаж доступов к корпоративным сетям компаний по всему миру: если в 2019 г. было выставлено всего 130 лотов, то в 2024 г. — более 4000. Причем нередко в рамках продажи одного лота злоумышленники предлагали набор доступов, состоящий от нескольких десятков до нескольких тысяч доступов, полученных при помощи различного вредоносного ПО.
Например, на одном из даркфорумов регулярно появляются объявления о продаже доступов в корпоративные сети в формате аукциона: злоумышленники указываю, к какой компании принадлежит инфраструктура, какие у нее масштабы, из какой она страны и каким доступом располагают (например, VPN, RDP или Active Directory-учетки).
В одном из кейсов аналитики F6 под прикрытием связались с продавцом, выставившим на теневом форуме доступ к корпоративной инфраструктуре, и идентифицировали жертву. Угроза была нейтрализована до момента продажи. Аккаунт от корпоративной системы может стоить около $10, но в некоторых случаях он открывает путь во внутреннюю инфраструктуру компании.
Именно эти доступы часто становятся «входной точкой» для операторов программ-вымогателей, действующих по модели RaaS (Ransomware-as-a-Service). Само участие в RaaS-программе может обойтись злоумышленнику в несколько тысяч долларов за подписку, а в отдельных случаях — до $100 тыс. за пожизненный доступ, как это предлагала одна из известных группировок вымогателей.
Все включено
С экономической точки зрения, как отмечают аналитики, эффективнее всего себя в криминальном мире показывают модели SaaS (сервисы по подписке). Например, некоторые злоумышленники предлагают доступ к платным платформам для генерации вредоносных программ: атакующим достаточно через личный кабинет собрать уникальный исполняемый файл, задать ему параметры — от имени иконки до шифрования сетевого трафика, подключить Telegram-бота для получения логов, загрузить билд и начать атаку.
Отдельный сегмент дарквеба — арсенал хакера: предлагаются вредоносные программы, исходные коды, эксплойты и базы с актуальными уязвимостями. Широко распространены инструменты для фишинга и атаки с использованием социальной инженерии — от шаблонов писем до готовых платформ, где любой желающий может «собрать» вредонос под нужные параметры. Все это — на подписке, как обычный SaaS, только для преступников.
В Telegram-каналах активно работают сервисы пробива, предоставляющие данные по запросу: от паспортных данных и телефонов до списка недвижимости и остатков на счетах. Стоимость — от пары тысяч рублей. Такие данные активно используются для целевых атак, шантажа, корпоративного шпионажа.
«Отслеживание активности в дарквебе позволяет не просто фиксировать факты уже состоявшихся утечек, но и в ряде случаев предотвращать атаки, — отметила Лада Крюкова, руководитель отдела исследования и мониторинга андеграунда департамента F6 Threat Intelligence. — Упоминание названия компании, домена, IP-адреса или даже имени сотрудника в андеграунде может быть первым тревожным сигналом к началу подготовки злонамеренных действий. Чем раньше такая деятельность будет замечена, тем выше шансы среагировать своевременно и устранить угрозу до начала проведения полноценной атаки».
В этом ключевую роль играет Threat Intelligence: системный мониторинг теневых ресурсов, выявление потенциальных угроз, анализ поведения злоумышленников и сбор актуальных индикаторов компрометации. Именно киберразведка позволяет организациям не просто реагировать на инциденты, а предотвращать их, получая информацию об упоминаниях брендов, доменов, IP-адресов, продуктов компании, а также готовящихся атаках задолго до того, как они достигнут корпоративного периметра.
Короткая ссылка
