Украденные данные в даркнете: исследования в Швеции и России

Украденные данные в даркнете: исследования в Швеции и России

Даркнет давно стал удобной площадкой, где злоумышленники публикуют украденные из компаний данные. Группы исследователей из Швеции и России провели независимые исследования, которые помогают оценить масштабы происходящих в последнее время утечек данных, появляющихся потом в даркнете. Даны также рекомендации по минимизации ущерба для компаний.

 

 

 

 

 

  1. Введение
  2. Инцидент с компанией Colonial Pipeline
  3. Утечки в крупнейших компаниях мира (FTSE 100)
  4. Детальный анализ исследования Outpost24
  5. Оценка статистики по найденным в даркнете данным
  6. Вирусы помогают красть данные
  7. Исследования утечек в даркнет в России
  8. Выводы

Введение

Анонс новой ИИ-технологии AutoDLP в системе автоматизации ИБ InfoWatch Data Explorer заставил снова внимательно оценить проблемы связанные с кражей или утечкой данных из корпоративных систем. Самым «лакомым кусочком» в этой информации являются учётные данные пользователей. Они имеют высокую ценность не только сами по себе. С их помощью можно восстановить структуру корпоративной системы, определить особенности её защиты.

С появлением в руках хакеров учётных данных пользователей появляется возможность осуществить более мощную, масштабируемую атаку. Эффект достигается за счёт применения разных аккаунтов, что позволяет завуалировать масштаб атаки. Можно проводить целенаправленный фишинг, «вычислять» местонахождение данных, получать «легальный» доступ к особо защищаемой информации. Всё это заставляет внимательно относиться к тому, какие данные попадают в даркнет.

Инцидент с компанией Colonial Pipeline

«Классическим» примером, который иллюстрирует возможности атаки через кражу аккаунтов, является инцидент, произошедший совсем недавно в инфраструктуре компании Colonial Pipeline — оператора крупнейшего в США трубопровода. Атака была проведена 7 мая 2021 года. Она вызвала остановку работы всех трубопроводов компании на пять дней. В результате атаки президенту США пришлось даже объявить чрезвычайное положение в ряде штатов на юго-востоке страны. По оценкам прессы, инцидент стал «крупнейшей успешной кибератакой на нефтяную инфраструктуру в истории США».

Хакеры, причастные к кибератаке на сеть Colonial Pipeline, получили доступ к корпоративной сети компании благодаря утечке … всего одного пароля. Как выяснилось, пароль использовался сотрудником, который применял его в VPN-сервисе при удалённом доступе к компьютерным сетям компании. Тот же пароль был обнаружен позднее в даркнете. Это позволило сделать предположение, что взлом стал возможен из-за утечки данных. Злоумышленники нашли «засветившийся» пароль, он был испробован и успешно сработал. Так хакеры осуществили кибератаку.

Утечки в крупнейших компаниях мира (FTSE 100)

Уже стало «прописной истиной», что источником распространения большинства украденных или утёкших данных является даркнет. Исследование шведской компании Outpost24 позволило оценить масштабы угроз.

В мае этого года на сайте Outpost24 появился отчёт с результатами исследования утечек данных по крупнейшим мировым компаниям, обнаруженных в даркнете. Для исследования были отобраны данные предприятий из индекса FTSE 100 — популярного «барометра» деловой активности в мире. В индекс FTSE 100 входит сотня наиболее успешных компаний, акции которых торгуются на Лондонской фондовой бирже.

Результаты исследования позволили выявить обескураживающие процессы, которые сейчас происходят с корпоративными данными:

  • В даркнете можно найти конфиденциальные данные для большинства (81 %) компаний из списка FTSE 100.
  • Исследователям удалось обнаружить в даркнете в общей сложности 31135 записей с украденными или утёкшими учётными данными для компаний из списка FTSE 100. Среди найденных данных 38 % (более трети) были обнародованы в течение последнего года.
  • Для 42 % компаний из списка FTSE 100 удалось найти в даркнете более 500 скомпрометированных аккаунтов.
  • Кража 20 % обнаруженных учётных записей была осуществлена с помощью вредоносных программ или специальных инструментов (stealers).
  • Доля данных приходящихся на последние три месяца составляет 11 %, на последние шесть месяцев — 21 %, на последние 12 месяцев — более 68 %.
  • Более 60 % украденных учётных данных относится к трём отраслям: ИТ и телекоммуникации (23 %), энергетика и коммунальные услуги (22 %), финансы (21 %).
  • Наибольшее количество инцидентов относится к ИТ и телекоммуникациям. Для этих отраслей было найдено 7303 записи для компаний из списка FTSE 100. Предприятия этих сегментов рынка лидируют и по среднему количеству украденных аккаунтов — 730 записей. Они также больше других страдают от заражения вредоносными программами. По ним выявлено больше всего украденных и размещённых в даркнете данных за последние три месяца.
  • Наиболее крупные утечки происходят в общем здравоохранении. Среднее количество украденных учётных данных на компанию является наивысшим именно для этого сегмента: 485 записей. Отчасти это связано с пандемией, считают исследователи.

Детальный анализ исследования Outpost24

Собрав данные, Outpost24 провела некоторую систематизацию полученной статистики. Однако прежде всего она обнародовала сведения о количестве компаний из списка FTSE 100 с их принадлежностью к той или иной области рынка. Видно, что деление по бизнес-отраслям неравномерно. Это имеет несомненное значение для оценки полученных результатов.

Согласно статистике, ИТ и телекоммуникации подвержены риску кражи и утечки учётных данных в наибольшей степени. Как уже говорилось, на эти отрасли бизнеса приходится наибольшее количество обнаруженных данных и максимальное среднее количество украденных аккаунтов, приходящихся на отдельную компанию.

Высока также динамика краж для ИТ и телекоммуникаций: 63 % обнаруженных случаев утечки приходятся на последний год (12 месяцев). Особую озабоченность вызывает то, что к этому сегменту относятся всего 10 % компаний из списка FTSE 100. Отмечается, что ИТ и телекоммуникации принадлежат к числу отраслей со строгими правилами регуляции со стороны государства и правоохранительных органов. Несмотря на большое внимание, которое уделяют им регуляторы, эти компании оказались самыми уязвимыми.

 

Рисунок 1. Количество компаний из списка FTSE 100 по отраслям

Количество компаний из списка FTSE 100 по отраслям

 

Второе место по утечкам занял энергетический сектор. Для компаний этого типа было выявлено 6925 украденных аккаунтов, на одну компанию приходится в среднем 346 учётных записей.

На банковскую отрасль, которая представлена наиболее широко среди компаний FTSE 100 (24 % всех участников), приходится 6413 обнаруженных аккаунтов (третье место). В среднем к одной компании финансового сектора относятся 267 обнаруженных в даркнете «учёток».

Меньше всего украденных данных принадлежало медицинским учреждениям профессионального уровня (Hospitality). Хотя таких организаций представлено в списке не так и много (всего шесть), для них было выявлено в общей сложности 89 украденных аккаунтов, в среднем по 15 на каждую.

Оценка статистики по найденным в даркнете данным

Вывод оказывается весьма неожиданным. Очевидно, что в ИТ и телекоммуникациях работает больше ИБ-профессионалов высокого уровня, чем в медицинских учреждениях. По-видимому, это порождает двоякий результат.

С одной стороны, более высокий профессионализм ИБ-сотрудников позволяет обслуживать более мощные средства защиты. С другой стороны, там используются более разнообразные и многочисленные ИТ-решения, что в итоге порождает больше возможностей для компрометации данных, чем в учреждениях, где всё сведено до минимального рабочего уровня.

 

Рисунок 2. Общее количество украденных или утёкших аккаунтов по отраслям и среднее число таких аккаунтов на одну компанию

Общее количество украденных или утёкших аккаунтов по отраслям и среднее число таких аккаунтов на одну компанию

 

Шведские исследователи также отмечают, что почти половина компаний (42 %) из списка FTSE 100 имеют на своём счету более 500 скомпрометированных учётных записей, выставленных в даркнете. В то же время почти четверть компаний (21 %) из списка FTSE 100 имеют всего один скомпрометированный аккаунт (или в даркнете по ним нет вообще никаких данных).

С другой стороны, встречаются и антилидеры. Например, максимальное количество утёкших от одной компании аккаунтов, обнаруженных в даркнете, равно 999. 7 % компаний имеют более 900 скомпрометированных учётных записей, размещённых в даркнете, что указывает на высокую вероятность их взлома в скором будущем.

Вирусы помогают красть данные

Исследователям удалось также обнаружить 31135 украденных / утёкших аккаунтов, полученных путём проникновения вредоносного кода внутрь корпоративной сети или путём заражения компьютера жертвы. На кражу через вирусное заражение пришлось 24957 записей, тогда как с помощью утечки данных в даркнет попало 6178 «учёток».

Это позволяет утверждать, что, выбирая способ атаки против крупной компании, хакеры по-прежнему предпочитают вредоносные программы.

Подобным утечкам сильно подвержены организации из области здравоохранения (поликлиники). Это наглядно показала недавняя атака, осуществлённая в мае этого года против объектов национальной системы здравоохранения Великобритании (National Health Service, NHS). В результате атаки на компьютерную систему лечебных учреждений NHS многие из них прекратили приём пациентов.

Причиной блокировки компьютеров NHS стало попадание в сеть вируса-вымогателя WannaCry. Сообщалось, что злоумышленникам удалось заразить не менее 16 организаций. Хакеры требовали, как сообщала The Guardian, выкуп за восстановление работы компьютерных сетей. Позднее стало известно, что атака была осуществлена через фишинг, что позволило выкрасть учётные записи Microsoft. Украденные данные затем последовательно вводились в атаку, что позволило продвигаться по корпоративной сети и раскрывать новые сегменты.

При вирусном заражении наиболее широкую популярность в настоящее время имеют программы похищения паролей (stealers). Алгоритм таких атак предусматривает сбор конфиденциальной информации в заражённой системе, в т. ч. из кеша браузера, файлов конфигурации, сторонних приложений и т. д., и отправку данных в общее хранилище, управляемое через серверы C&C (Command and Control, C2). Для противодействия DLP-системам применяется шифрование.

 

Рисунок 3. Доля раскрытых за последние 3–12 месяцев утечек учётных данных компаний, по отраслям

Доля раскрытых за последние 3–12 месяцев утечек учётных данных компаний, по отраслям

 

Исследования утечек в даркнет в России

Российский сервис разведки утечек данных и мониторинга даркнета DLBI также провёл исследование крупнейших инцидентов в 2022 году. В результате было обнаружено, что ситуация на рынке резко изменилась. В отличие от предыдущих лет, доминирующим способом получения информации теперь стал взлом серверов баз данных.

Получив доступ, хакеры делают дампы БД и выставляют их на продажу через даркнет. В общем числе утечек доля таких взломов составила 68 %, а в общем объёме похищенных данных — 83 %.

Наибольшую настороженность вызывают объёмы украденных данных, о которых сообщают российские исследователи, в сравнении с западными оценками. По сведениям DLBI, объём утечек за первое полугодие 2022 года составил 61 млн уникальных записей, тогда как за тот же период 2021 года — 6 млн.

Отмечается взрывной рост количества похищенных неуникальных данных (информация о транзакциях, логи действий), число которых достигло уже 2,4 млрд записей. Это — беспрецедентный уровень для российской отрасли ИБ.

Следует отметить, что за последнее время были выявлены очень крупные по объёму украденных данных кражи. Например, это взлом серверов БД с похищением информации о клиентах «Яндекс.Еды», СДЭК, Delivery Club и школы «Сколково», а также данных пользователей сети порталов Rugion.ru.

По мнению экспертов DLBI, похищенные сведения используются пока для экспериментального обогащения и самого простого фишинга. Для формирования совокупностей действительно полезной, конфиденциальной информации о пользователях требуется объединять данные из разных утечек по крупным сервисам. Таким образом можно получить сведения о реальном месте жительства, платёжеспособности, круге знакомств, позволяющие осуществлять мошеннические атаки, отмечают исследователи из DLBI.

В качестве примера возможности «сборки» полезных массивов информации указывается объединение данных, например, СДЭК и «Яндекс.Еды» с данными операторов связи.

Выводы

Выводы, которые делают шведские исследователи и с которыми наверняка согласятся и эксперты из России, таковы: для борьбы с киберпреступностью необходимо действовать и мыслить как хакер. В этом случае можно подготовить средства безопасности, которые будут способны остановить кражу данных.

Необходимо также продолжать собирать в даркнете информацию о кражах, чтобы оценивать угрозы в настоящем времени. Это позволит своевременно узнавать о них, а также прогнозировать, как киберпреступники могут использовать украденные учётные данные для реализации своих замыслов.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru