По данным ИБ-компании KELA, в сентябре 2020 года на хакерских форумах утроилось количество объявлений, рекламирующих продажу доступа к взломанным сетям различных компаний (по сравнению с предыдущим месяцем).

Специалисты KELA пишут, что проиндексировали 108 объявлений, размещенных на популярных хакерских форумах, и подсчитали, что совокупная стоимость предложенных хакерами доступов равняется 505 000 долларов США. Причем около четверти лотов в итоге были проданы злоумышленникам, желающим атаковать те или иные компании.

Раньше в подобных объявлениях, как правило, предлагали купить RDP-доступ, а также подобные услуги предлагали операторы ботнетов, торгующие доступом к своим ботам. Однако многое изменилось летом 2019 года, после обнаружения множества уязвимостей в сетевых продуктах, включая решения Pulse Secure и Fortinet VPN, сетевые шлюзы Citrix, продукты Zoho и так далее. Злоумышленники начали активно атаковать эти уязвимости, и многие группы стали монетизировать эти атаки, продавая полученный доступ на популярных хак-форумах, вроде XSS, Exploit или RAID.

Аналитики KELA пишут, что взломанные сетевые устройства — это лишь часть проблемы. Также преступники по-прежнему торгуют доступом к скомпрометированным эндпоинтам RDP или VNC. Чаще всего компрометация происходит с помощью простого брутфорса, которым занимаются IoT-ботнеты. Также нередко изначальный RDP-доступ покупается у других преступников, расширяется до уровня пользователя или уровня администратора, а затем перепродается по более высоким ценам.

По данным аналитиков, средняя цена доступа к скомпрометированной сети составляет примерно­ 4960 долларов, а в целом диапазон цен колеблется от 25 до 102 000 долларов. Очевидно, что сети со скомпрометированной учетной записью администратора ценятся выше, чем сети, где скомпрометированная учетная запись имеет лишь базовые пользовательские права. Однако некоторым хакером подходит даже такое, ведь порой злоумышленники ищут лишь начальную «точку входа», имея собственные возможности для расширения доступа.

Также цена доступа во многом зависит от «ценности» компании, а не размера ее сети. В своих объявлениях хакеры нередко указывают годовой доход компании, а не на количество эндпоинтов. Дело в том, что целевой аудиторией такой рекламы часто выступают операторы вымогательского ПО, для которых годовой доход и прибыль жертвы важны для определения суммы выкупа. Размер сети для таких хакеров менее значим, так как шифровальщик может нанести огромный урон компании, даже не блокируя при этом тысячи компьютеров.

Среди наиболее дорогих объявлений, опубликованных в сентябре, можно встретить рекламу  доступа к сети крупной морской и судостроительной компании (продано за 102 000 долларов), российскому банку (20 000 долларов), турецкой авиационной компании (16 000 долларов) и канадской франчайзинговой фирме (10 600 долларов).

При этом аналитики KELA подчеркивают, что хакерские форумы, которые они отслеживают, это лишь верхушка айсберга, дающая только общее представление об этом сегменте черного рынка, который на самом деле намного масштабнее.

Оставить мнение