Вымогатели стали покупать доступ к взломанным сетям в дарквебе

Вымогатели стали покупать доступ к взломанным сетям в дарквебе

Вымогатели стали покупать доступ к взломанным сетям в дарквебе

Исследователи из консалтинговой компании Accenture оценили положение с продажей доступа к взломанным сетям на площадках дарквеба. Как оказалось, за три года спрос на этот «товар» значительно вырос, и подобные предложения очень интересуют распространителей программ-вымогателей.

Аутсорс получения доступа к корпоративной сети избавляет таких злоумышленников от трудоемкого и накладного этапа, предваряющего целевую атаку. Кроме взлома, подготовка к атаке обычно предполагает также закрепление в сети и латеральное продвижение по сети жертвы с целью раздачи вредоноса на другие машины

Согласно результатам проведенного в Accenture исследования, количество предложений по продаже сетевого доступа в дарквебе неуклонно растет, тогда как в 2017 году они занимали очень скромную нишу на рынке. Подобные объявления продавцы обычно вывешивают на закрытых форумах в единой ветке — для удобства покупателей — и сопровождают следующей информацией:

  • специализация жертвы (вертикаль);
  • страны, в которых она ведет деловые операции;
  • тип доступа к сети (RDP, VPN и т. п.);
  • количество машин в сети;
  • дополнительные сведения (например, число служащих, размер дохода).

Такого пакета обычно достаточно для идентификации жертвы.

По состоянию на сентябрь этого года исследователи насчитали на онлайн-рынках дарквеба десятка три постоянных продавцов доступа к сетям, предлагающих его по цене от 300 до 10 000 долларов США — в зависимости от размера сети и доходов целевой компании. Примечательно, что те форумы, где обитают подобные хакеры, также пестрят рекламой услуг по распространению Maze, Lockbit, Avaddon, Exorcist, NetWalker, Sodinokibi и прочих программ-вымогателей, нацеленных на корпоративные сети. Хотя связь между продажей доступа к сети и конкретной кибератакой установить трудно, исследователи уверены, что некоторые операторы шифровальщиков регулярно пользуются возможностью аутсорса.

Аналитики также определили, что в настоящее время сети взламывают с использованием протокола RDP, реже — через уязвимости в VPN-клиентах Citrix и Pulse Secure. По всей видимости, хакеры пользуются тем, что из-за угрозы COVID-19 многие компании перевели служащих на удаленную работу, и потребность в инструментах доступа к рабочим местам сильно возросла.

Для взлома сетей в коммерческих целях злоумышленники также начали использовать эксплойты нулевого дня (0-day), а несколько продавцов, по данным Accenture, пытаются приспособить для этих нужд недавно слитый в Сеть исходный код Cerberus.

Исследователи ожидают, что со временем взаимовыгодная связь продавцов сетевого доступа и распространителей шифровальщиков упрочится, поэтому рекомендуют бизнес-структурам принять следующие меры:

  • наладить мониторинг дарквеба, чтобы вовремя выявлять потенциальные угрозы;
  • регулярно создавать резервные копии важных файлов и изолировать хранилище от сети;
  • обновлять антивирусы в автоматическом режиме и обеспечить плановые сканы;
  • регулярно проверять логи на признаки присутствия известных программ-вымогателей;
  • составить план действий по реагированию на киберинциденты и быстрому восстановлению нормальной работы предприятия;
  • проводить тренинги сотрудников, обучая их правилам безопасного использования email и помогая распознавать вредоносные письма.

В 7-Zip нашли уязвимость: вредоносный XZ-архив может запустить код

В 7-Zip обнаружили опасную уязвимость CVE-2026-14266, которая позволяет атакующему выполнить произвольный код через специально подготовленный XZ-архив. Из-за переполнения буфера приложение может записать данные за пределами выделенной памяти.

Проблема связана с обработкой фрагментированных XZ-данных. Если эксплуатация сработает, злоумышленник получит возможность запускать код с правами текущего процесса 7-Zip.

Для атаки всё же нужно участие пользователя: жертву необходимо убедить открыть вредоносный архив или скачать его с подконтрольного сайта. Поэтому массового автоматического взлома по воздуху здесь нет, зато для фишинга схема подходит прекрасно.

Опасный файл можно замаскировать под обновление, резервную копию, пакет документов или обычный архив из мессенджера. Уязвимость получила 7 баллов из 10 по шкале CVSS.

Аутентификация и предварительный доступ к устройству атакующему не нужны. После успешной эксплуатации он сможет запустить вредонос, украсть доступные пользователю данные, изменить файлы или просто уронить систему.

О случаях применения CVE-2026-14266 в реальных атаках пока не сообщается. Но технические подробности уже опубликованы, а значит, желающие собрать рабочий эксплойт получили неплохую инструкцию к действию.

Разработчики исправили проблему в 7-Zip 26.0. Пользователям советуют обновиться как можно скорее и не открывать неожиданные XZ-архивы из писем, чатов и файловых обменников.

Архив с названием «документы_важное.xz» теперь лучше сначала проверить. Потому что внутри может лежать не документ, а очень инициативный чужой код.

RSS: Новости на портале Anti-Malware.ru