Специалисты IBM X-Force рассказали о новой тактике, которую в последнее время начали активно применять неэтичные исследователи или попросту хакеры. Тактика называется «bug poaching» — браконьерство багов. Обнаружив какую-либо уязвимость в инфраструктуре компании, злоумышленники эксплуатируют найденный баг, похищают данные с серверов компании, а затем требуют «вознаграждение» в обмен на информацию о том, как был осуществлен взлом.
Исследователи X-Force предлагают представить простую ситуацию: в ваш дом вламывается преступник, однако он ничего не похищает. Вместо этого он тщательно фотографирует все личные вещи и ценности, а на следующий день присылает вам письмо: «Если хотите знать, как я проник в ваш дом, пожалуйста, заплатите мне много денег». Звучит абсурдно? Тем не менее, хакеры в последнее время все чаще делают именно так.
По данным аналитиков IBM, за последний год от подобного вымогательства пострадали более 30 различных организаций. Злоумышленники находят уязвимости на сайтах компаний, а затем запрашивают крупные суммы (до $30 000) за их раскрытие.
Основным вектором атак выступают SQL-инъекции и другие простые способы взлома, особенно такие, которые можно автоматизировать при помощи инструментов, найденных на просторах интернета. Исследователи отдельно отмечают, что им неизвестно ни одного случая обнаружения и эксплуатации злоумышленниками уязвимостей нулевого дня и других серьезных проблем.
Получив доступ к чужим серверам, взломщики быстро скачивают все, до чего могут добраться и заливают эту информацию к себе в облако. На адрес пострадавшей организации отправляется письмо со ссылкой на похищенные данные в качестве доказательства взлома. В послании атакующие просят компанию заплатить за информацию об уязвимости, нередко сопровождая это слезными увещеваниями вроде: «Честное слово, я занимаюсь этим, чтобы заработать на жизнь, а не просто развлечения ради». При этом мошенники уверяют, что данные компании в безопасности, и они не собираются их обнародовать, но на деле ничто не мешает хакерам продать украденную информацию в даркнете, вне зависимости от того, заплатила жертва «выкуп» или нет.
В качестве борьбы с баг-браконьерами специалисты X-Force рекомендуют регулярно обновлять ПО, проводить проверки на уязвимости и нанимать профессионалов для проведения пентестинга. Платить таким вымогателям исследователи не советуют, лучше обратиться к ИБ-специалистам и в правоохранительные органы.
