Корпоративная сеть взволновала киберпреступников

Эксперты Positive Technologies провели исследование торговых площадок на теневом рынке киберуслуг и обнаружили всплеск интереса к доступам в корпоративную сеть. Они выяснили, что в I квартале 2020 г. количество предложений о продаже доступов в корпоративную сеть на мировом теневом рынке киберуслуг на 69% превысило показатели предыдущего квартала. В IV квартале 2019 г. на продажу на хакерских форумах было выставлено более 50 доступов к сетям крупных компаний со всего мира (столько же исследователи насчитали за весь 2018 г.), а уже в I квартале 2020 г. в продаже было более 80 доступов. Чаще всего продаются доступы в промышленные организации, компании из сферы услуг, финансов, науки и образования, информационных технологий (58% предложений в совокупности).

Если год-два назад злоумышленников в основном интересовали доступы к единичным серверам, которые стоили в пределах $20, то со второй половины 2019 г. наблюдается рост интереса к покупке доступов к локальным сетям компаний. Выросли и суммы сделок. Например, сейчас за доступ к инфраструктуре компании с годовым доходом от $500 млн предлагают долю до 30% от потенциальной прибыли после завершения атаки. Средняя стоимость привилегированного доступа к локальной сети сейчас составляет около $5 тыс.

В число жертв входят организации с годовым доходом от сотен миллионов до нескольких миллиардов долларов. Чаще всего продаются доступы в компании из США (более трети всех предложений), также в пятерку входят Италия и Великобритания (по 5,2% предложений), Бразилия (4,4%), Германия (3,1%). При этом в случае США чаще всего продают доступы в организации сферы услуг (20%), промышленные компании (18%) и государственные учреждения (14%). Применительно к Италии в лидерах спроса промышленность (25%) и сфера услуг (17%), а в Великобритании - сфера науки и образования (25%) и финансовая отрасль (17%). По 29% всех продаваемых доступов в немецкие компании приходится на сферу ИТ и сферу услуг.

"Обычно покупатели такого товара - другие злоумышленники. Они приобретают доступы, чтобы развить атаку самостоятельно либо нанять опытную команду хакеров для повышения привилегий в сети и размещения вредоносных файлов на критически важных узлах инфраструктуры компании-жертвы. Одними из первых такую схему взяли на вооружение операторы шифровальщиков", - говорят эксперты Positive Technologies.

Старший аналитик по информационной безопасности Positive Technologies Вадим Соловьев отметил, что интерес к данной теме киберпреступники начали проявлять еще в 2018 г., но активно развиваться торговля доступами начала с середины 2019 г.

"В условиях удаленки атака на компанию через проданный доступ может быть очень критичной для бизнеса. На практике подключения удаленных сотрудников к инфраструктуре редко вписываются в стандартный режим рабочего дня, и службам безопасности сложнее среди массы легитимных подключений выявить аномальную и подозрительную активность, основываясь на времени подключения, в таких условиях кибершпионам безусловно легче скрывать свои действия. Кроме того, переход на удаленку может быть связан с использованием дополнительного ПО, которое также может быть использовано злоумышленниками для организации резервных каналов доступа, - рассказал Вадим Соловьев корреспонденту ComNews. - Мы изучили 190 площадок в дарквебе, где представлены предложения о покупке и продаже инструментов, используемых в кибератаках, а также объявления о заказной разработке вредоносного ПО. В числе исследованных теневых ресурсов - форумы, специализированные маркетплейсы и чаты преимущественно с русско- и англоговорящей аудиторией. Средняя общая посещаемость ресурсов - более 70 млн человек в месяц. Прямых свидетельств продажи доступов в российские организации не зафиксировано, однако надо учитывать, что 17% всех подобных предложений на теневом рынке не имеют географической привязки, а часть данных продаются и покупаются вообще без подобных объявлений. Изначально этот тренд берет свои корни из истории шифровальщиков, сейчас мы просто наблюдаем смену их целей. Первостепенным в данном случае обычно является получение выкупа. Значит, уровень информатизации компаний должен быть высоким (процессы, данные, бэкапы - все в электронном виде), при этом компании должны быть платежеспособны. Пока под прицелом атакующих - более привлекательные цели за рубежом, так как доступы к ним можно дорого продать. В России все же круг целей с миллиардными оборотами не столь велик. Но в связи с переходом на удаленку наверняка ситуация будет развиваться очень стремительно, и российские компании также окажутся в списках пострадавших уже в ближайшем будущем".

Вадим Соловьев рассказал, что для того, чтобы избежать проблем, компаниям следует уделять внимание комплексной защите инфраструктуры, как на сетевом периметре, так и в локальной сети. "В первую очередь нужно убедиться, что все сервисы на периметре сети защищены, а в локальной сети обеспечен достаточный уровень мониторинга событий безопасности для выявления нарушителя. Регулярный ретроспективный анализ событий безопасности позволит обнаружить пропущенные ранее кибератаки и устранить угрозу до того, как злоумышленники украдут информацию или остановят бизнес-процессы", - дал совет Вадим Соловьев.

Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев отметил, что зачастую продажа "точек входа" в корпоративные сети становится "хлебом" начинающих хакеров или тех киберпреступников, кто не уверен в своих силах и опасается проводить глубокие атаки.

"Поверхностно изучив инфраструктуру взломанной организации, злоумышленник может отказаться от дальнейшего продвижения и выставляет доступ на продажу в теневом сегменте интернета. Там "эстафету" могут подхватить более профессиональные хакеры, в том числе представители политически мотивированных группировок, добывающие ценную информацию на заказ. Как правило, чем выше уровень предоставляемого доступа и чем ценнее потенциальный куш, который могут получить хакеры, тем дороже стоимость доступа. В ряде случаев она может достигать десятков тысяч долларов.

Всплеск популярности торговли доступа к корпоративной сетевой инфраструктуре в I квартале отчасти обусловлен распространением коронавируса, когда многие компании приняли решение перевести персонал на удаленную работу, в результате чего существенно возросли риски вторжения в корпоративные системы. Также продолжает расти интерес киберпреступности к различным ноу-хау и коммерческим секретам. По данным InfoWatch, в 2019 г. число утечек коммерческой тайны в мире выросло почти в 1,5 раза, более 40% таких утечек произошли в результате хакерских атак. Видимо, в ближайшие месяцы рост интереса к доступу продолжит расти, в том числе в России", - предположил Андрей Арсентьев.

Руководитель группы исследования киберпреступности Group-IB Дмитрий Шестаков рассказал, что активный рост продаж доступов к корпоративным сетям начался с 2017 г. и с небольшими перебоями, связанными с временной приостановкой активности отдельных продавцов, вышел на пик в 2018 г. В частности, только один из наиболее известных злоумышленников, торгующих такими услугами, в период с октября 2017 г. по сентябрь 2019 г. выставил на продажу доступ к сетям 135 компаний из более чем 40 стран мира.

"В первой половине 2019 г. активность в даркнете по продажам вернулась примерно на уровень 2017 г. А начиная со второй половины 2019 г. по настоящее время снова начался рост: это связано прежде всего с появлением новых игроков на рынке продаже доступов, которые сейчас ведут активную деятельность в андеграунде. Так, во второй половине 2019 г. продавцов стало на 58% больше, чем в первой. Для сравнения, это на 92% выше, чем во второй половине 2017 г., и на 61% - чем в этом же периоде 2018 г.", - говорит Дмитрий Шестаков.

Он считает, что перевод сотрудников на удаленный режим работы - это дополнительные риски для кибербезопасности компаний. "Прежде всего потому, что организовать грамотную защиту территориально распределенной инфраструктуры и предпринять те же организационно-технические меры информационной безопасности, которые действовали в офисе, способны не все: не у каждого бизнеса есть такой опыт. Зачастую удаленка организуется "на скорую руку", и это значительно упрощает задачу злоумышленников, желающих подзаработать на продаже доступов, - пояснил Дмитрий Шестаков. - У злоумышленников из России есть негласное правило не работать "по РУ", то есть по странам СНГ. Поскольку основная масса продавцов русскоязычны - доступы к российским компаниям продаются редко. А если и продаются, то их принадлежность к России не афишируется. Немало примеров, когда кто-то из новичков пытается продать доступы по РУ, после чего, как правило, получает "бан" - то есть блокировку на форуме и удаление всех постов на эту тему".

Директор управления информационных технологий ESET Russia Руслан Сулейманов уверен, что в ближайшем будущем сохранится тенденция к росту количества кибератак, утечек информации, компрометации доступов к корпоративным сетям.

"Это обусловлено лавинообразным увеличением количества компаний, сотрудники которых работают в режиме удаленного офиса, используя личные устройства. Огромное количество устройств пользователей сложно контролировать, поэтому у ИТ-служб зачастую не хватает ресурсов, чтобы обеспечивать качественный анализ рисков и своевременно реагировать на кибератаки, что ведет к компрометации данных компании. При этом подключение девайсов персонала к корпоративной сети происходило в слишком быстром темпе, в условиях цейтнота, часто в ущерб безопасности, - отмечает Руслан Сулейманов. - В то же время предприниматели опасаются последствий грядущего экономического кризиса и готовы браться за любые заказы, таким образом, становясь еще более уязвимыми. Злоумышленники, в свою очередь, не хотят упускать возможность извлечь максимальную прибыль из сложившейся ситуации, поэтому активно приобретают доступы к корпоративным сетям и проникают в них. Еще одной причиной роста популярности такого "товара" в даркнете может послужить недобросовестная конкуренция - если корпорации решат воспользоваться данным способом проникнуть в сеть других организаций, занимаясь корпоративным шпионажем".