Вымогатели стали покупать доступ к взломанным сетям в дарквебе

Исследователи из консалтинговой компании Accenture оценили положение с продажей доступа к взломанным сетям на площадках дарквеба. Как оказалось, за три года спрос на этот «товар» значительно вырос, и подобные предложения очень интересуют распространителей программ-вымогателей.

Аутсорс получения доступа к корпоративной сети избавляет таких злоумышленников от трудоемкого и накладного этапа, предваряющего целевую атаку. Кроме взлома, подготовка к атаке обычно предполагает также закрепление в сети и латеральное продвижение по сети жертвы с целью раздачи вредоноса на другие машины

Согласно результатам проведенного в Accenture исследования, количество предложений по продаже сетевого доступа в дарквебе неуклонно растет, тогда как в 2017 году они занимали очень скромную нишу на рынке. Подобные объявления продавцы обычно вывешивают на закрытых форумах в единой ветке — для удобства покупателей — и сопровождают следующей информацией:

• специализация жертвы (вертикаль);
• страны, в которых она ведет деловые операции;
• тип доступа к сети (RDP, VPN и т. п.);
• количество машин в сети;
• дополнительные сведения (например, число служащих, размер дохода).

Такого пакета обычно достаточно для идентификации жертвы.

По состоянию на сентябрь этого года исследователи насчитали на онлайн-рынках дарквеба десятка три постоянных продавцов доступа к сетям, предлагающих его по цене от 300 до 10 000 долларов США — в зависимости от размера сети и доходов целевой компании. Примечательно, что те форумы, где обитают подобные хакеры, также пестрят рекламой услуг по распространению Maze, Lockbit, Avaddon, Exorcist, NetWalker, Sodinokibi и прочих программ-вымогателей, нацеленных на корпоративные сети. Хотя связь между продажей доступа к сети и конкретной кибератакой установить трудно, исследователи уверены, что некоторые операторы шифровальщиков регулярно пользуются возможностью аутсорса.

Аналитики также определили, что в настоящее время сети взламывают с использованием протокола RDP, реже — через уязвимости в VPN-клиентах Citrix и Pulse Secure. По всей видимости, хакеры пользуются тем, что из-за угрозы COVID-19 многие компании перевели служащих на удаленную работу, и потребность в инструментах доступа к рабочим местам сильно возросла.

Для взлома сетей в коммерческих целях злоумышленники также начали использовать эксплойты нулевого дня (0-day), а несколько продавцов, по данным Accenture, пытаются приспособить для этих нужд недавно слитый в Сеть исходный код Cerberus.

Исследователи ожидают, что со временем взаимовыгодная связь продавцов сетевого доступа и распространителей шифровальщиков упрочится, поэтому рекомендуют бизнес-структурам принять следующие меры:

• наладить мониторинг дарквеба, чтобы вовремя выявлять потенциальные угрозы;
• регулярно создавать резервные копии важных файлов и изолировать хранилище от сети;
• обновлять антивирусы в автоматическом режиме и обеспечить плановые сканы;
• регулярно проверять логи на признаки присутствия известных программ-вымогателей;
• составить план действий по реагированию на киберинциденты и быстрому восстановлению нормальной работы предприятия;
• проводить тренинги сотрудников, обучая их правилам безопасного использования email и помогая распознавать вредоносные письма.