Вымогатели стали покупать доступ к взломанным сетям в дарквебе

[Artifact]

Исследователи из консалтинговой компании Accenture оценили положение с продажей доступа к взломанным сетям на площадках дарквеба. Как оказалось, за три года спрос на этот «товар» значительно вырос, и подобные предложения очень интересуют распространителей программ-вымогателей.
Аутсорс получения доступа к корпоративной сети избавляет таких злоумышленников от трудоемкого и накладного этапа, предваряющего целевую атаку. Кроме взлома, подготовка к атаке обычно предполагает также закрепление в сети и латеральное продвижение по сети жертвы с целью раздачи вредоноса на другие машины
Согласно https://www.accenture.com/us-en/blog...somware-groupsпроведенного в Accenture исследования, количество предложений по продаже сетевого доступа в дарквебе неуклонно растет, тогда как в 2017 году они занимали очень скромную нишу на рынке. Подобные объявления продавцы обычно вывешивают на закрытых форумах в единой ветке — для удобства покупателей — и сопровождают следующей информацией:

• специализация жертвы (вертикаль);


• страны, в которых она ведет деловые операции;


• тип доступа к сети (RDP, VPN и т. п.);


• количество машин в сети;


• дополнительные сведения (например, число служащих, размер дохода).

Такого пакета обычно достаточно для идентификации жертвы.
По состоянию на сентябрь этого года исследователи насчитали на онлайн-рынках дарквеба десятка три постоянных продавцов доступа к сетям, предлагающих его по цене от 300 до 10 000 долларов США — в зависимости от размера сети и доходов целевой компании. Примечательно, что те форумы, где обитают подобные хакеры, также пестрят рекламой услуг по распространению Maze, Lockbit, Avaddon, Exorcist, NetWalker, Sodinokibi и прочих программ-вымогателей, нацеленных на корпоративные сети. Хотя связь между продажей доступа к сети и конкретной кибератакой установить трудно, исследователи уверены, что некоторые операторы шифровальщиков регулярно пользуются возможностью аутсорса.
Аналитики также определили, что в настоящее время сети взламывают с использованием протокола RDP, реже — через уязвимости в VPN-клиентах https://www.anti-malware.ru/companies/citrixи Pulse Secure. По всей видимости, хакеры пользуются тем, что из-за угрозы COVID-19 многие компании перевели служащих на удаленную работу, и потребность в инструментах доступа к рабочим местам сильно возросла.
Для взлома сетей в коммерческих целях злоумышленники также начали использовать эксплойты нулевого дня (0-day), а несколько продавцов, по данным Accenture, пытаются приспособить для этих нужд недавно https://www.anti-malware.ru/news/2020-09-17-1447/33703 исходный код Cerberus.
Исследователи ожидают, что со временем взаимовыгодная связь продавцов сетевого доступа и распространителей шифровальщиков упрочится, поэтому рекомендуют бизнес-структурам принять следующие меры:

• наладить мониторинг дарквеба, чтобы вовремя выявлять потенциальные угрозы;


• регулярно создавать резервные копии важных файлов и изолировать хранилище от сети;


• обновлять антивирусы в автоматическом режиме и обеспечить плановые сканы;


• регулярно проверять логи на признаки присутствия известных программ-вымогателей;


• составить план действий по реагированию на киберинциденты и быстрому восстановлению нормальной работы предприятия;


• проводить тренинги сотрудников, обучая их правилам безопасного использования email и помогая распознавать вредоносные письма.