Вымогатели стали покупать доступ к взломанным сетям в дарквебе

Вымогатели стали покупать доступ к взломанным сетям в дарквебе

Вымогатели стали покупать доступ к взломанным сетям в дарквебе

Исследователи из консалтинговой компании Accenture оценили положение с продажей доступа к взломанным сетям на площадках дарквеба. Как оказалось, за три года спрос на этот «товар» значительно вырос, и подобные предложения очень интересуют распространителей программ-вымогателей.

Аутсорс получения доступа к корпоративной сети избавляет таких злоумышленников от трудоемкого и накладного этапа, предваряющего целевую атаку. Кроме взлома, подготовка к атаке обычно предполагает также закрепление в сети и латеральное продвижение по сети жертвы с целью раздачи вредоноса на другие машины

Согласно результатам проведенного в Accenture исследования, количество предложений по продаже сетевого доступа в дарквебе неуклонно растет, тогда как в 2017 году они занимали очень скромную нишу на рынке. Подобные объявления продавцы обычно вывешивают на закрытых форумах в единой ветке — для удобства покупателей — и сопровождают следующей информацией:

  • специализация жертвы (вертикаль);
  • страны, в которых она ведет деловые операции;
  • тип доступа к сети (RDP, VPN и т. п.);
  • количество машин в сети;
  • дополнительные сведения (например, число служащих, размер дохода).

Такого пакета обычно достаточно для идентификации жертвы.

По состоянию на сентябрь этого года исследователи насчитали на онлайн-рынках дарквеба десятка три постоянных продавцов доступа к сетям, предлагающих его по цене от 300 до 10 000 долларов США — в зависимости от размера сети и доходов целевой компании. Примечательно, что те форумы, где обитают подобные хакеры, также пестрят рекламой услуг по распространению Maze, Lockbit, Avaddon, Exorcist, NetWalker, Sodinokibi и прочих программ-вымогателей, нацеленных на корпоративные сети. Хотя связь между продажей доступа к сети и конкретной кибератакой установить трудно, исследователи уверены, что некоторые операторы шифровальщиков регулярно пользуются возможностью аутсорса.

Аналитики также определили, что в настоящее время сети взламывают с использованием протокола RDP, реже — через уязвимости в VPN-клиентах Citrix и Pulse Secure. По всей видимости, хакеры пользуются тем, что из-за угрозы COVID-19 многие компании перевели служащих на удаленную работу, и потребность в инструментах доступа к рабочим местам сильно возросла.

Для взлома сетей в коммерческих целях злоумышленники также начали использовать эксплойты нулевого дня (0-day), а несколько продавцов, по данным Accenture, пытаются приспособить для этих нужд недавно слитый в Сеть исходный код Cerberus.

Исследователи ожидают, что со временем взаимовыгодная связь продавцов сетевого доступа и распространителей шифровальщиков упрочится, поэтому рекомендуют бизнес-структурам принять следующие меры:

  • наладить мониторинг дарквеба, чтобы вовремя выявлять потенциальные угрозы;
  • регулярно создавать резервные копии важных файлов и изолировать хранилище от сети;
  • обновлять антивирусы в автоматическом режиме и обеспечить плановые сканы;
  • регулярно проверять логи на признаки присутствия известных программ-вымогателей;
  • составить план действий по реагированию на киберинциденты и быстрому восстановлению нормальной работы предприятия;
  • проводить тренинги сотрудников, обучая их правилам безопасного использования email и помогая распознавать вредоносные письма.

Домен t.me вернули в DNS, но Telegram оживет не у всех сразу

Короткий домен Telegram t.me снова вернулся в строй. Реестр доменной зоны .me восстановил его DNS-записи, а статус serverHold, из-за которого адрес фактически исчез из интернета, был снят. Это значит, что ссылки формата t.me снова должны открываться в браузерах.

Правда, не мгновенно у всех: DNS-записи кешируются у провайдеров и разных служб, поэтому полное восстановление может занять до 24 часов.

Ранее домен внезапно исключили из DNS на уровне реестра .me. В WHOIS у него появился статус serverHold, который устанавливает не регистратор, а оператор доменной зоны. В результате короткие ссылки Telegram перестали работать по всему миру, хотя сам мессенджер продолжал функционировать штатно.

На случай затяжного сбоя Telegram уже начал подменять ссылки t.me на telegram.me внутри своих приложений. Старые адреса при этом продолжали открываться непосредственно в мессенджере, но браузеры отправляли пользователей в цифровую пустоту.

Причины отключения домена до сих пор официально не названы. Неизвестно, был ли это технический сбой, юридический вопрос или ручное решение оператора реестра.

Теперь t.me формально вернулся. Осталось дождаться, пока об этом узнают DNS-серверы по всему миру.

RSS: Новости на портале Anti-Malware.ru