Специалисты Positive Technologies изучили публикации на киберпреступную тематику в каналах и чатах Telegram. Исследование показало, что большинство сообщений в мессенджере посвящены компрометации пользовательских данных, в том числе их покупке и продаже. Рекордное число сообщений на хакерскую тематику эксперты зафиксировали во втором квартале 2022 года: более 27 000 сообщений, что в 2,5 раза больше, чем во втором квартале прошлого года.
Исследователи пишут, что количество постов киберпреступников в Telegram начало заметно увеличиваться с 2020 года, а в 2021 году активность пользователей в тематических каналах и группах возросла в 3,5 раза.
Эксперты объясняют этот рост возможным массовым переходом пользователей киберпреступных форумов в мессенджеры. Это произошло после того, как в 2020–2021 годах было выявлено множество критически опасных уязвимостей в форумных движках, а в 2021 году произошло несколько крупных взломов форумов, что так же могло спровоцировать отток их аудитории.
Большинство изученных экспертами сообщений были связаны с пользовательскими данными, в том числе с торговлей ими и мошенническими операциями (52%), далее в статистике расположились посты на тему киберпреступных услуг (29%) и распространения вредоносного ПО (15%).
Среди малвари самыми востребованными оказались программы для удаленного управления (30%), а также стилеры (16%).
Самым популярным инфостилером стал RedLine, о котором уже давно предупреждают ИБ-специалисты из разных компаний. Упоминания о RedLine встречаются более чем в 18% сообщений: это многочисленные обсуждения функций, продажа и раздача исходного кода малвари, а также информации, собранной с помощью стилера.
Помимо этого в Telegram нередко обсуждают такие стилеры, как Anubis, SpiderMan, Oski Stealer, Loki Stealer. Их стоимость может составлять от 10 до 3500 долларов США.
Эксперты отмечают, что на цену малвари влияют тип вредоноса, его функциональные возможности, а также сроки использования программы. Например, инструменты для обфускации могут стоить от 20 до 100 долларов, а ботнет или руководство по его созданию — до 750 долларов. Стоимость майнера колеблется от 10 до 1000 долларов: за 10 долларов можно приобрести достаточно простого вредоноса с ограниченными возможностями, а за 1000 долларов — исходный код инструмента с широким набором функций, включая обход антивирусных программ и возможность заражения системы без привилегий администратора.
Также, согласно результатам исследования, 66% сообщений на тему киберпреступных услуг составляют обсуждения обналичивания денежных средств, например вывод криптовалют.
DDoS-атаки оказались вторыми по популярности, составив 16% сообщений в этой теме. Еще около 9% постов — это предложения услуг по взлому ресурсов; такие услуги включают кражу почтовых аккаунтов и аккаунтов в социальных сетях, а также взлом сайтов и серверов.
Каждое пятое сообщение на тему DDoS-атак — это объявление о продаже услуг. Стоимость проведения DDoS-атаки зависит от ее продолжительности: за час цена составит 8 долларов, а неделя атаки обойдется в 200 долларов и более.
Сообщения об услугах по взлому аккаунтов «ВКонтакте», Telegram, WhatsApp, Viber и других социальных сетей и мессенджеров составляют 72% от общего числа публикаций о взломе ресурсов. Компрометация аккаунта «ВКонтакте» может стоить от 10 до 50 долларов. Мессенджеры обойдутся дороже: например, взлом профиля в Telegram, Viber и WhatsApp может стоить от 350 долларов. При этом стоимость компрометации корпоративного аккаунта существенно выше: за нее хакеры могут запросить не менее 200 долларов, тогда как за взлом личного почтового аккаунта берут 100 долларов.
Значительную часть всех сообщений на тему компрометации защищенной информации составляют посты, где фигурируют персональные (43%) или учетные (42%) данные: это объявления о покупке или продаже личных сведений, об услугах по фальсификации документов, обсуждения утечек.
«В 2021 году компрометации учетных записей была посвящена практически половина всех сообщений, но в первом полугодии 2022 года преобладающей стала тема документов, персональных данных и услуг, связанных с ними (71%), — отмечает аналитик Positive Technologies Екатерина Семыкина. — Число сообщений на эту тему существенно выросло во втором квартале: на фоне многочисленных атак и утечек, замеченных в первом квартале, возросло число услуг, связанных с предоставлением украденных из учреждений копий документов. Так, 28% сообщений на эту тему составляют объявления о продаже данных и предоставлении услуг, связанных с данными (например, о подделке документов, изготовлении электронной подписи), а каждое десятое сообщение посвящено их покупке».
Больше всего сообщений на тему учетных данных посвящено продаже аккаунтов стриминговых платформ, социальных сетей, криптобирж, брокерских контор. Так, аккаунт Spotify может стоить 5 долларов, а премиум-аккаунт Netflix с подпиской на год — от 10 долларов.
Кроме того, эксперты отмечают, что в Telegram популярны услуги спама и массовых рассылок. Чаще всего предлагают SMS-спам (54% сообщений на эту тему), немного реже — спам по электронной почте (32%). Цены обычно рассчитываются в зависимости от длительности рассылки или от количества сообщений. Например, средняя стоимость для одного почтового адреса — около 50 рублей за час спама или за 1000 писем.