Эксперты Positive Technologies провели исследование черного рынка и обнаружили всплеск интереса к доступам в корпоративную сеть: в первом квартале 2020 года число предложений о продаже таких данных на 69% превысило показатели предыдущего квартала.
Исследователи отмечают, что выявленный тренд существенно влияет на безопасность корпоративной инфраструктуры, а особенно в период массового перевода сотрудников на удаленную работу.
Отчет компании гласит, что в четвертом квартале 2019 года на хакерских форумах можно было найти более 50 предложений по продаже доступа к сетям крупных компаний со всего мира (примерно столько же эксперты насчитали за весь 2018 год). Но уже в первом квартале 2020 года на черном рынке предлагали доступ к сетям более 80 компаний. Чаще всего злоумышленники продают доступ в сети промышленных организаций, компаний из сферы услуг, финансов, науки и образования, а также информационных технологий (58% предложений в совокупности).
Если год-два назад злоумышленники в основном интересовались доступом к единичным серверам, и такой доступ стоил примерно 20 долларов, то со второй половины 2019 года наблюдается рост интереса к покупке доступа к целым локальным сетям компаний.
Выросли в последнее время и суммы сделок. Например, сейчас за доступ к инфраструктуре компании с годовым доходом от 500 млн долларов предлагают долю до 30% от потенциальной прибыли после завершения атаки. Средняя стоимость привилегированного доступа к локальной сети сейчас составляет порядка 5000 долларов.
В число жертв сегодня входят организации с годовым доходом от сотен миллионов до нескольких миллиардов долларов. Чаще всего хакеры продают доступ к сетям компаний из США (более трети всех предложений), также в пятерку входят Италия и Великобритания (по 5,2% предложений), Бразилия (4,4%), Германия (3,1%).
При этом в случае США чаще всего доступ продают в сети организаций из сферы услуг (20%), промышленных компаний (18%) и государственных учреждений (14%). Применительно к Италии в лидерах спроса промышленность (25%) и сфера услуг (17%), а в Великобритании ― сфера науки и образования (25%), а также финансовая отрасль (17%). В германии 29% всех предложений по продаже доступа приходится на сферу ИТ и сферу услуг.
Исследователи пишут, что обычно покупатели такого товара — другие злоумышленники. Они приобретают доступ к сети компании, чтобы развить атаку самостоятельно, либо чтобы нанять опытную команду хакеров для повышения привилегий в сети и размещения вредоносных файлов на критически важных узлах инфраструктуры компании-жертвы. Одними из первых такую схему взяли на вооружение операторы шифровальщиков.
«Мы ожидаем, что в ближайшее время крупные организации могут попасть под прицел низкоквалифицированных нарушителей, которые нашли способ легкого заработка, ― говорит Вадим Соловьев, старший аналитик Positive Technologies. ― В период всемирного карантина, когда компании массово переводят сотрудников на удаленную работу, хакеры будут искать любую незакрытую брешь в системах на периметре сети. Чем крупнее компания, в сеть которой удастся получить доступ, и чем выше полученные привилегии, тем больше сможет заработать преступник».