Средняя стоимость доступа к взломанной компании на хакерских биржах составляет $5,4 тыс., показало исследование специалистов по информационной безопасности из израильской компании Kela. Аналитики изучили порядка 1 тыс. объявлений в даркнете. Большая часть лотов — доступы к сетям американских, французских, английских, австралийских и канадских компаний. При этом в топ-10 не попали ни Россия, ни страны СНГ. Эксперты объяснили это тем, что исследователи, скорее всего, собирали статистику по русскоязычным хакерским форумам, которые входят в число старейших теневых «маркетплейсов». А на них не принято публиковать объявления с доступами к местным компаниям.
Грязные деньги
Специалисты компании Kela проанализировали более 1 тыс. объявлений о продаже начального доступа к внутренним компьютерным сетям взломанных организаций, опубликованных с июля 2020 года по июнь 2021-го. Средняя цена лота — около $5,4 тыс., медианная (половина предложений ниже показателя, половина — выше) — $1 тыс., показало исследование.
Как правило, доступом называют логин и пароль от аккаунта сотрудника компании, который открывает для злоумышленников вход в компьютерную инфраструктуру организации. Также как доступ может продаваться программное обеспечение для эксплуатации уязвимостей в сети жертвы. Начальным доступ называют потому, что с него можно начать хакерскую атаку, объяснил старший эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо. По словам других российских специалистов, чаще всего доступы покупают операторы вирусов-шифровальщиков.
В Kela отметили, что ценообразование зависит от выручки взломанной компании: этот показатель определяет и номинал выкупа, который могут запросить хакеры. Поэтому доступы к небольшим фирмам стоят $100–200, а самые дорогие лоты — в тысячи раз больше. Самый высокий ценник, который встретился экспертам, был равен 12 биткоинам (примерно $540 тыс. по курсу на 18 августа). Столько брокеры просили за доступ к неназванной австралийской компании с годовым доходом $500 млн. Второй по дороговизне доступ стоил 5 биткоинов (примерно $225 тыс.). За эту сумму продавался аккаунт в системе удаленного доступа к рабочему столу ConnectWise Control из сети одной из американских IT-компаний. Тройку самых дорогих доступов замкнул лот за $100 тыс., обещавший проход в сеть некоего правительственного ведомства Мексики.
По данным российской компании Bi.Zone, доступы стоят от $100 до $20 тыс. Специалисты фирмы проанализировали более 1,5 тыс. объявлений.
В среднем доступ в Сети продают за $4,6 тыс., дала свою оценку аналитик Positive Technologies Яна Юракова. По ее словам, цена снижается: на черном рынке больше брокеров, многие из которых, вероятнее всего, в силу неопытности предлагают дешевые лоты и тем самым влияют на статистику.
— В промежутке с 2017 года по I квартал 2020 года доля объявлений, где была указана цена менее $1 тыс. за доступ, составляла 15%, а в период со II квартала 2020 года по I квартал 2021 года она составила уже 45%. Доля дорогих доступов, стоимость которых превышает $5 тыс., в сравнении с тем же периодом сократилась практически в два раза, — рассказала эксперт.
Не всем так просто
По данным Kela, аккаунты с правами администратора на хакерских форумах в среднем стоят в 10 раз больше, чем доступ с правами рядового пользователя. Денис Легезо объясняет это тем, что аккаунт администратора позволяет злоумышленникам получить полный доступ к сети компании сразу. При покупке учетной записи рядового сотрудника хакеру придется проделать работу по повышению привилегий в корпоративной сети.
— Например, такой пользователь не сможет сделать выгрузку из базы данных, изменить настройки домена так, как нужно атакующим, и т.д. Учетная запись администратора домена дает возможность сделать всё это без дальнейшего повышения привилегий, — пояснил эксперт.
Права администраторов на черном рынке высоко ценятся еще и потому, что процедура повышения привилегий связана с рисками обнаружения деятельности злоумышленников в сети и требует высокой компетенции, добавила Яна Юракова.
Часто брокеры получают доступы к сетям компаний после рассылки фишинговых писем, отметил Денис Легезо. Помимо социальной инженерии, злоумышленники пользуются сетевыми уязвимостями на устройствах компаний. Деятельности брокеров также способствуют и инсайдеры внутри организаций, уточнил независимый исследователь информационной безопасности и автор Telegram-канала Russian OSINT Сергей Иванов.
— Есть люди в крупных компаниях, которые за деньги помогают киберпреступникам получить доступ. Таким образом они обеспечивают себе безбедную старость, — сказал эксперт.
Антирейтинг
Специалисты Kela составили рейтинг стран, доступы к компаниям из которых чаще всего продают в даркнете. С большим отрывом топ возглавили США: американских организаций касается 27,9% объявлений. На второй строчке — Франция с показателем 6,1%. Следом идут Великобритания и Австралия с долями по 4%. Пятерку лидеров замкнула Канада с результатом 3,8%. Затем идут Италия (3,5%), Бразилия (3,2%), Испания и Германия (по 2,3%), ОАЭ (2%).
Россия и страны СНГ могли не войти в топ-10, поскольку на русскоязычных хакерских форумах не принято работать с местными компаниями, отметили исследователи. Но именно эти площадки в качестве теневых «маркетплейсов» привлекают наибольшее внимание специалистов по информационной безопасности, пояснил руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров.
— Некоторые старейшие русскоязычные форумы с течением времени агрегировали большую пользовательскую базу как русскоязычных, так и других пользователей. В основном потому, что они долго существуют. Большинство англоязычных «маркетплейсов» не выдерживали и трети срока существования в сравнении с ними, — сказал эксперт.
Испаноговорящие и азиатские хакерские сообщества тоже примечательны, но им исследователи и аналитики посвящают сравнительно мало внимания, добавил он.
Русскоязычные форумы могут быть платформами для крупнейших бирж начального доступа, не исключил Сергей Иванов. Но даже если это не так, анализ этих ресурсов позволяет понять ценовую динамику на рынке, уверен он.