Исследователи из консалтинговой компании Accenture оценили положение с продажей доступа к взломанным сетям на площадках дарквеба. Как оказалось, за три года спрос на этот «товар» значительно вырос, и подобные предложения очень интересуют распространителей программ-вымогателей.
Аутсорс получения доступа к корпоративной сети избавляет таких злоумышленников от трудоемкого и накладного этапа, предваряющего целевую атаку. Кроме взлома, подготовка к атаке обычно предполагает также закрепление в сети и латеральное продвижение по сети жертвы с целью раздачи вредоноса на другие машины
Согласно https://www.accenture.com/us-en/blog...somware-groupsпроведенного в Accenture исследования, количество предложений по продаже сетевого доступа в дарквебе неуклонно растет, тогда как в 2017 году они занимали очень скромную нишу на рынке. Подобные объявления продавцы обычно вывешивают на закрытых форумах в единой ветке — для удобства покупателей — и сопровождают следующей информацией:
<ul><li>специализация жертвы (вертикаль);</li>
<li>страны, в которых она ведет деловые операции;</li>
<li>тип доступа к сети (RDP, VPN и т. п.);</li>
<li>количество машин в сети;</li>
<li>дополнительные сведения (например, число служащих, размер дохода).</li>
</ul>
Такого пакета обычно достаточно для идентификации жертвы.
По состоянию на сентябрь этого года исследователи насчитали на онлайн-рынках дарквеба десятка три постоянных продавцов доступа к сетям, предлагающих его по цене от 300 до 10 000 долларов США — в зависимости от размера сети и доходов целевой компании. Примечательно, что те форумы, где обитают подобные хакеры, также пестрят рекламой услуг по распространению Maze, Lockbit, Avaddon, Exorcist, NetWalker, Sodinokibi и прочих программ-вымогателей, нацеленных на корпоративные сети. Хотя связь между продажей доступа к сети и конкретной кибератакой установить трудно, исследователи уверены, что некоторые операторы шифровальщиков регулярно пользуются возможностью аутсорса.
Аналитики также определили, что в настоящее время сети взламывают с использованием протокола RDP, реже — через уязвимости в VPN-клиентах https://www.anti-malware.ru/companies/citrixи Pulse Secure. По всей видимости, хакеры пользуются тем, что из-за угрозы COVID-19 многие компании перевели служащих на удаленную работу, и потребность в инструментах доступа к рабочим местам сильно возросла.
Для взлома сетей в коммерческих целях злоумышленники также начали использовать эксплойты нулевого дня (0-day), а несколько продавцов, по данным Accenture, пытаются приспособить для этих нужд недавно https://www.anti-malware.ru/news/2020-09-17-1447/33703 исходный код Cerberus.
Исследователи ожидают, что со временем взаимовыгодная связь продавцов сетевого доступа и распространителей шифровальщиков упрочится, поэтому рекомендуют бизнес-структурам принять следующие меры:
<ul><li>наладить мониторинг дарквеба, чтобы вовремя выявлять потенциальные угрозы;</li>
<li>регулярно создавать резервные копии важных файлов и изолировать хранилище от сети;</li>
<li>обновлять антивирусы в автоматическом режиме и обеспечить плановые сканы;</li>
<li>регулярно проверять логи на признаки присутствия известных программ-вымогателей;</li>
<li>составить план действий по реагированию на киберинциденты и быстрому восстановлению нормальной работы предприятия;</li>
<li>проводить тренинги сотрудников, обучая их правилам безопасного использования email и помогая распознавать вредоносные письма.</li>
</ul>