Эксперты Positive Technologies проанализировали, как развивался рынок доступов в 2020 году и начале 2021 года, и обнаружили, что за это время количество объявлений о продаже доступов увеличилось более чем в семь раз.
Исследователи отмечают, что количество таких объявлений в даркнете увеличивалось с каждым кварталом на протяжении всего рассматриваемого периода. К примеру, только в первом квартале 2021 года было обнаружено 590 новых объявлений, а это 83% от числа всех предложений в 2020 году. И по сравнению с первым кварталом 2020 года в первом квартале 2021 года количество пользователей, размещающих объявления о продаже/покупке доступов, а также о поисках напарников увеличилось в три раза.
«Рынок доступов к корпоративным сетям активно формировался в течение последних нескольких лет, — отмечает старший аналитик Positive Technologies Вадим Соловьев. — О его зрелости уже можно было судить в начале 2020 года. Один из факторов, способствующих этому, — увеличение количества атак с использованием программ-вымогателей, так как партнеры или участники партнерской программы шифровальщиков часто пользуются предложениями на рынке доступов».
По оценкам экспертов, в среднем ежеквартально продаются доступы в корпоративные сети организаций на сумму около 600 000 долларов США. При этом доля «дорогих» доступов (стоимостью более 5 000 долларов США) сократилась в два раза. Такие изменения могут быть следствием активного участия злоумышленников-новичков на теневом рынке, считают эксперты.
Как показал анализ, чаще всего злоумышленники выставляли на продажу доступы к компаниям из сферы услуг (17%), промышленности (14%) и учреждениям науки и образования (12%). При доля промышленных компаний и финансовых организаций, доступы в которые традиционно стоят дороже, несколько уменьшилась. Аналитики связывают это с тем, что рынок доступов наполняется низкоквалифицированными игроками, которые предпочитают жертв «попроще».
«Мы видим, что модель нарушителя меняется: внешний нарушитель, который получает первоначальный доступ к сети компании, и нарушитель, который развивает атаку внутри, — абсолютно разные по уровню подготовки, — комментирует аналитик Positive Technologies Яна Юракова. — Даже если периметр будет взломан новичком, то в локальной сети организации будут действовать уже профессионалы, которые приобрели доступ на форуме в дарквебе и обладают всеми ресурсами для достижения своих целей — реализации самых опасных для компании событий (от кражи денег со счетов организации до полной остановки основной деятельности на длительное время».