Кроме того, в подпольном сообществе активно делятся мануалами и примерами кода, которые помогают новичкам создавать простые вредоносные инструменты, такие как загрузчики, стилеры или RAT. Публикация материалов служит основой для обучения базовым методам разработки, а также помогает неопытным пользователям разобраться в механизмах работы вредоносных программ. Ведет это к тому, что каждый новый участник может шаг за шагом погружаться в практическую разработку ВПО, учась на примерах более опытных коллег. В связи с этим постепенно повысится уровень квалификации у разработчиков вредоносного ПО, и мы будем все чаще видеть появление новых представителей индустрии.
Из всех проанализированных сообщений, 7 из 10 объявлений посвящены продаже эксплойтов. К теме «Покупка» относится почти треть сообщений (27%), отражая значительный спрос на подобные инструменты среди злоумышленников.
Информация об уязвимостях и эксплойтах высоко ценится на теневых рынках. Так, 32% эксплойтов, выставленных на продажу, относятся к уязвимостям нулевого дня. Их стоимость может доходить до миллионов долларов, и часто вместе с покупкой злоумышленники получают подробные инструкции по их эксплуатации.
RCE (Remote Code Execution) является уязвимостью, которая позволяет злоумышленнику удаленно выполнять произвольный код в системе жертвы. RCE-уязвимость может предоставить полный доступ к скомпрометированному устройству и контроль над ним, что делает ее одной из самых опасных. Ее часто используют в целенаправленных атаках, а также для распространения программ-вымогателей и других типов вредоносного программного обеспечения. Например, в октябре злоумышленники RCE-уязвимость для атаки на более чем 22 000 серверов CyberPanel для дальнейшей доставки программы-вымогателя PSAUX. В результате атаки почти все экземпляры CyberPanel были выведены из строя.
LPE (Local Privilege Escalation) позволяет злоумышленникам повысить свои привилегии в системе, получив доступ к действиям, доступным только администраторам, например root-доступ. Уязвимость типа LPE представляет большую ценность для киберпреступников и является одним из этапов эксплуатации. После взлома атакующий обычно получает непривилегированный доступ с ограниченными возможностями. Для полного захвата устройства и дальнейшего развития атаки необходим полный доступ, который и предоставляет уязвимость LPE.
Со списком наиболее популярных уязвимостей можно ознакомиться в ежемесячном дайджесте на нашем .
Получив необходимые данные, брокеры первоначального доступа предоставляют свои услуги группировкам, занимающимся программами-вымогателями, или другим злоумышленникам, в том числе APT-группировкам. Стоит отметить, что неопытные злоумышленники не всегда могут довести атаку до конца, например, найдя уязвимость при помощи легального сканера уязвимостей. Однако даже если они не в состоянии закончить, полученную информацию (доступ) они могут продать более опытным киберпреступникам, которые смогут эффективно ею воспользоваться.
Наибольшая доля сообщений в категории «Доступы» относится к продаже — 72%, тогда как объявления о покупке составляют лишь 14%. Преобладание объявлений о продаже отражает тенденцию к так называемому «разделению труда» в киберпреступной среде. Одни злоумышленники специализируются на добыче доступов, в то время как другие — на использовании их в атаках. Тип «Раздача» составляет 13% от всех объявлений и содержит посты о бесплатной раздаче доступов.
Большинство объявлений (62%) находится в низком ценовом диапазоне, стоимость которых не превышает тысячи долларов. Обычно на стоимость доступа влияет доход компании, поэтому есть и дорогостоящие предложения (7%): цены, указанные в таких объявлениях, могут доходить до нескольких десятков тысяч долларов. Отметим, что такие доступы, как правило, продаются к финансовым учреждениям, промышленным предприятиям и компаниям в сфере услуг.
Из всех проанализированных объявлений 20% относится к сфере торговли. Следом идут сфера услуг (17%) и промышленность (16%).
Почти треть объявлений (29%) относится к категории «Кардинг» и содержит такие данные, как номер карты, год и месяц окончания ее действия, CVV-код, данные держателя, номер телефона, адрес и электронную почту. Злоумышленники используют эту информацию для покупок различных товаров или обналичивания денег. Иными словами, кардинг часто становится первой ступенью для новичков в мире киберпреступлений благодаря его относительной простоте.
Следом идет «Перенаправление трафика и инсталлы» (загрузочный трафик), составляющая 16% от общего числа сообщений. Такие услуги обеспечивают переход пользователей на определенный ресурс, например фишинговый сайт или сайт с ВПО. Работает это следующим образом: пользователи кликают на рекламу и переходят на подготовленный фишинговый ресурс, где им предлагается установить вредоносную программу под видом легального и безопасного ПО.
Рисунок 41. Код ВПО на теневом форуме
Стоит отметить, что сейчас у злоумышленников популярны не только популярные языки программирования (C++ и т. п.), но и другие— Rust и Golang (Go). Сейчас на Golang создано множество различных вредоносных программ. Go широко используется для разработки разнообразных типов такого софта: ВПО для удаленного управления, стилеры, майнеры и ботнеты. Одним из главных преимуществ ВПО на Go и Rust является его способность с легкостью атаковать сразу несколько операционных систем, включая Windows, Linux и VMWare ESXi при использовании одной и той же кодовой базы. Банды шифровальщиков тоже активно подхватили этот некогда зародившийся тренд и постепенно переходили на Rust и Go. Например, , , и многие другие. Мы ожидаем продолжения развития этого тренда у разработчиков вредоносного ПО из-за ряда преимуществ этих языков.Уязвимости и эксплойты
Каждая уязвимость в системе — своего рода потенциальная дверь, через которую злоумышленники могут проникнуть в сеть, вывести из строя сервисы или украсть важную информацию. Для того чтобы использовать эти слабые места, разрабатываются эксплойты.- Эксплойт — это код или программа, которая использует уязвимости в программном или аппаратном обеспечении для выполнения вредоносных действий, таких как инициирование атак типа «отказ в обслуживании» или установка вредоносного ПО.
Рисунок 42. Распределение объявлений по типам в категории «Уязвимости и эксплойты»
Из всех проанализированных сообщений, 7 из 10 объявлений посвящены продаже эксплойтов. К теме «Покупка» относится почти треть сообщений (27%), отражая значительный спрос на подобные инструменты среди злоумышленников.
Рисунок 43. Типы эксплойтов, представленных к продаже
Рисунок 44. Распределение эксплойтов по стоимости
Информация об уязвимостях и эксплойтах высоко ценится на теневых рынках. Так, 32% эксплойтов, выставленных на продажу, относятся к уязвимостям нулевого дня. Их стоимость может доходить до миллионов долларов, и часто вместе с покупкой злоумышленники получают подробные инструкции по их эксплуатации.
Рисунок 45. Объявления о продаже эксплойтов
Четверть объявлений (25%) посвящена уже известным уязвимостям. Стоит отметить и наиболее опасные уязвимости, которые часто привлекают злоумышленников — RCE и LPE. Их доля составляет 26 и 12% соответственно.RCE (Remote Code Execution) является уязвимостью, которая позволяет злоумышленнику удаленно выполнять произвольный код в системе жертвы. RCE-уязвимость может предоставить полный доступ к скомпрометированному устройству и контроль над ним, что делает ее одной из самых опасных. Ее часто используют в целенаправленных атаках, а также для распространения программ-вымогателей и других типов вредоносного программного обеспечения. Например, в октябре злоумышленники RCE-уязвимость для атаки на более чем 22 000 серверов CyberPanel для дальнейшей доставки программы-вымогателя PSAUX. В результате атаки почти все экземпляры CyberPanel были выведены из строя.
LPE (Local Privilege Escalation) позволяет злоумышленникам повысить свои привилегии в системе, получив доступ к действиям, доступным только администраторам, например root-доступ. Уязвимость типа LPE представляет большую ценность для киберпреступников и является одним из этапов эксплуатации. После взлома атакующий обычно получает непривилегированный доступ с ограниченными возможностями. Для полного захвата устройства и дальнейшего развития атаки необходим полный доступ, который и предоставляет уязвимость LPE.
Со списком наиболее популярных уязвимостей можно ознакомиться в ежемесячном дайджесте на нашем .
Доступы
Продажа доступов к корпоративным сетям компаний является довольно прибыльным бизнесом. В свою очередь, этим занимаются отдельные представители киберподполья, а именно брокеры первоначального доступа (IAB — Initial access brokers) — злоумышленники, которые специализируются на получении и продаже доступов к скомпрометированным сетям или системам организаций. IAB используют различные методы, к ним относятся: эксплуатация уязвимостей в ПО, фишинговые сообщения с целью получения учетных данных или для доставки и развертывания вредоносной программы или использование (Brute Force — взлом учетных записей с помощью распространенных или известных паролей). Например, в результате внешнего тестирования на проникновение 56% векторов атак, направленных на получение доступа в ЛВС, содержали технику Brute Force.Получив необходимые данные, брокеры первоначального доступа предоставляют свои услуги группировкам, занимающимся программами-вымогателями, или другим злоумышленникам, в том числе APT-группировкам. Стоит отметить, что неопытные злоумышленники не всегда могут довести атаку до конца, например, найдя уязвимость при помощи легального сканера уязвимостей. Однако даже если они не в состоянии закончить, полученную информацию (доступ) они могут продать более опытным киберпреступникам, которые смогут эффективно ею воспользоваться.
Рисунок 46. Доля сообщений категории «Доступ» по типу
Наибольшая доля сообщений в категории «Доступы» относится к продаже — 72%, тогда как объявления о покупке составляют лишь 14%. Преобладание объявлений о продаже отражает тенденцию к так называемому «разделению труда» в киберпреступной среде. Одни злоумышленники специализируются на добыче доступов, в то время как другие — на использовании их в атаках. Тип «Раздача» составляет 13% от всех объявлений и содержит посты о бесплатной раздаче доступов.
Рисунок 47. Распределение доступов по стоимости
Большинство объявлений (62%) находится в низком ценовом диапазоне, стоимость которых не превышает тысячи долларов. Обычно на стоимость доступа влияет доход компании, поэтому есть и дорогостоящие предложения (7%): цены, указанные в таких объявлениях, могут доходить до нескольких десятков тысяч долларов. Отметим, что такие доступы, как правило, продаются к финансовым учреждениям, промышленным предприятиям и компаниям в сфере услуг.
Рисунок 48. Объявление о продаже доступа в компанию
На теневых ресурсах продаются доступы различного типа. Треть объявлений содержит предложения с подключением по протоколам VPN или RDP. Популярными также являются доступы с возможностью подключения при помощи оболочки Shell и программ удаленного доступа, таких как AnyDesk, Citrix. Их доля составила 11 и 10% соответственно.Рисунок 49. Типы доступов, представленных в дарквебе
Из всех проанализированных объявлений 20% относится к сфере торговли. Следом идут сфера услуг (17%) и промышленность (16%).
Рисунок 50. Доля сообщений о продаже доступов по отраслям
Услуги
Дарквеб — это не только большой рынок для продажи вредоносного ПО, эксплойтов и доступов к системам, но и пространство, в котором предоставляются отдельные услуги. Кроме того, для реализации атак злоумышленники прибегают к услугам сторонних лиц, например для настройки серверов или разработки фишинговых страниц. Интерес вызывают и сервисы, предоставляющие инфраструктуру. Это могут быть выделенные серверы, VPN или прокси, которые важны для проведения атак.Рисунок 51. Сообщения на тему киберпреступных услуг
Почти треть объявлений (29%) относится к категории «Кардинг» и содержит такие данные, как номер карты, год и месяц окончания ее действия, CVV-код, данные держателя, номер телефона, адрес и электронную почту. Злоумышленники используют эту информацию для покупок различных товаров или обналичивания денег. Иными словами, кардинг часто становится первой ступенью для новичков в мире киберпреступлений благодаря его относительной простоте.
Следом идет «Перенаправление трафика и инсталлы» (загрузочный трафик), составляющая 16% от общего числа сообщений. Такие услуги обеспечивают переход пользователей на определенный ресурс, например фишинговый сайт или сайт с ВПО. Работает это следующим образом: пользователи кликают на рекламу и переходят на подготовленный фишинговый ресурс, где им предлагается установить вредоносную программу под видом легального и безопасного ПО.
