Для успешной реализации атак киберпреступникам требуется надежная инфраструктура. Доля таких сообщений составила 5%. Они рекламируют широкий спектр услуг: от хостинга и прокси-серверов до VPS и VPN или выделенных серверов (dedicated servers).
VPN (Virtual private network — виртуальная частная сеть) необходим для обеспечения безопасных и анонимных соединений. При использовании VPN трафик злоумышленника шифруется, а его данные и местоположение остаются скрытыми. Цена на VPN-сервисы начинается от 4 $ в месяц. Но здесь злоумышленники разделяются по предпочтениям. Одни используют легальные коммерческие продукты, другие арендуют в подполье, а третьи создают свой инструмент. Кроме того, для скрытности и анонимности киберпреступники активно используют прокси-серверы, которые помогают скрыть реальный IP-адрес, но, в отличие от VPN, трафик пользователя не шифруется.
Немаловажным компонентом для кибератак являются выделенные серверы. Стоимость аренды начинается от 100 $ в месяц, и, как правило, такие серверы используют для создания командных центров или хостинга.
4SSL-сертификат (Secure Sockets Layer) — цифровой сертификат, который зашифровывает данные, передаваемые между пользователем и сайтом. В браузере такой ресурс отображается со значком замка рядом с адресом, используется протокол HTTPS вместо HTTP.
Кроме того, цена может варьироваться в зависимости от вероятности успешности атаки. Так, на одном из теневых форумов предлагалась услуга по взлому телеграм-аккаунта за 7000 и 9000 рублей с вероятностью успеха 50 и 70% соответственно.
Рост спроса на такие услуги связан с несколькими факторами. Пользователи используют слабые и предсказуемые пароли. Так, исследователи NordPass антирейтинг паролей. Они проанализировали базу данных объемом 2,5 ТБ, полученную из открытых источников. В рейтинг вошли такие пароли, как «123456» или „password“, что означает одно — облегчение процесса взлома хеша.
Не стоит забывать и про криптовалюты. С ростом интереса киберпреступников к ним, злоумышленники все чаще обращают внимание на хеши, взлом которых может привести к краже средств с криптокошельков.
Понимая, что их навыков может быть недостаточно (если мы говорим о новичках), киберпреступники обращаются за консультациями по настройке всей инфраструктуры и использованию CobaltStrike. В дополнение они могут присоединяться к банде шифровальщиков, чтобы использовать уже готовое вредоносное ПО и не заниматься его разработкой самостоятельно. Как мы выяснили, чтобы присоединиться к группировке, недостаточно только желание, нужны еще: вступительный взнос и репутация в подполье. Поэтому злоумышленники могут купить либо исходный код шифровальщика, либо билдер.
Для получения доступа в инфраструктуру организации преступники могут пойти несколькими путями: отправить фишинговые сообщения жертвам, искать уязвимости на сетевом периметре или покупать доступы на теневых ресурсах. Например, злоумышленники могут сканировать открытые порты на наличие устаревшего ПО или уязвимости. В случае, если в системе не обнаружены известные уязвимости, хакеры могут воспользоваться услугами повышения привилегий, доступными на теневых рынках.
Подготовительный этап требует значительных затрат. Общие расходы на инфраструктуру, покупку инструментов и услуги, а также консультации могут составлять от 20 000 $. Отметим, что цена может варьироваться в зависимости от приобретаемых продуктов. Использование шифровальщика в формате RaaS означает, что 10–30% от итогового выкупа уходит разработчикам вредоносного ПО.
Coveware, во втором квартале 2024 года средняя сумма выкупа выросла и составила 391 015 $ (рост на 2,4% по сравнению с первым кварталом того же года), а медианная сумма выкупа снизилась до 170 000 $ (снижение на 32% по сравнению с первым кварталом того же года). Поэтому киберпреступники предположительно могут получить 120 000–150 000 $ после выплаты комиссии разработчикам ПО и инструментов для проведения атак. Если вычесть расходы на все необходимые инструменты и услуги, чистая прибыль злоумышленника может составить 100 000–130 000 $ при успешной атаке.
Для организаций последствия подобных атак могут быть намного серьезнее, чем выплата выкупа. Например, в июне 2024 года технологическая компания CDK Global стала жертвой вымогательской атаки, которая парализовала работу серверов компании на две недели. В результате инцидента около 15 000 автодилеров по всей территории США столкнулись с остановкой продаж. Стоит отметить, что компания в размере 25 миллионов долларов, а финансовые потери дилеров из-за простоя системы CDK за первые две недели оцениваются в более чем 600 миллионов долларов.
С каждым кварталом мы отмечаем появление новых сервисов. Например, фишинговые наборы, распространяющиеся по модели PhaaS (Phishing-as-a-Service, фишинг как услуга): или . А некоторые из них становятся большой проблемой для организаций. Так, летом 2023 компания Proofpoint о крупной кампании, в ходе которой с помощью одного из фишинговых наборов было отправлено около 120 000 мошеннических электронных писем сотням организаций по всему миру. Немаловажно, что специалисты Proofpoint использование этого инструмента группировкой TA4903.
Далее разберем как рынок подполья продолжает развиваться сейчас.
Стоит отметить, что на теневых ресурсах можно купить уже украденные журналы. Часто продают старые, уже использованные данные, которые теряют свою актуальность (пароли сменили, сессии истекли, деньги с криптокошельков вывели). Возможно, это повлияло на появление нового элемента в теневой среде — магазина журналов прямо в панели управления. Новшество позволяет продавать уже использованные журналы (но не до конца отработанные) или не подошедшие киберпреступникам. Создав подрынок журналов стилера, злоумышленники расширили свое влияние, что в конечном счете сводится к одному: больше клиентов, больше финансовой прибыли, но и больше потенциальных жертв.
Мы предполагаем, что в ближайшем будущем появятся новые виды сервисов, позволяющие проводить кибератаки буквально «в один клик». Возможно, такие решения будут настолько автоматизированы благодаря развитию искусственного интеллекта5, что злоумышленнику достаточно будет выбрать цель и нажать «Запустить атаку». Решение откроет дверь для тех, кто раньше не мог участвовать в преступной деятельности из-за недостатка знаний или навыков.
5Уже известно, что киберпреступники могут использовать для генерации вредоносного кода.
В будущем теневые сервисы, возможно, смогут выйти на новый уровень экосистемности, предоставляя злоумышленникам шанс получать все необходимые инструменты и услуги в рамках одного поставщика. Такие сервисы будут интегрировать оплату, магазины журналов, доступ к эксплойтам и установку дополнительных модулей для вредоносного ПО в единой системе.
EaaS
Еще одним возможным вариантом может стать развитие EaaS (Exploit-as-a-Service— эксплойт как услуга). Как известно, стоимость 0-day-уязвимостей может доходить до миллионов долларов, но не у всех злоумышленников имеются такие средства. Модель EaaS позволит киберпреступникам сдавать в аренду эксплойты вместо продажи одному человеку. В свою очередь, это приведет к увеличению числа злоумышленников, способных эксплуатировать уязвимости, а также к обогащению разработчиков эксплойтов.
Предвестником сервиса уже можно назвать использование злоумышленниками эксплойт-китов (exploit kits — программный пакет, используемый киберпреступниками для автоматизации эксплуатации уязвимостей сайтов и веб-приложений). Одним из примеров является RIG EK. Согласно , набор эксплойтов достиг высокого уровня использования в 2022 году (треть успешных атак), при этом ежедневно пользователи совершали около 2000 попыток взлома с его помощью.
6Nighthawk — коммерчески распространяемый троян удаленного доступа (RAT), созданный компанией MDSec.
7Фреймворк для проведения тестов на проникновение, позволяющий доставлять на компьютер жертвы полезную нагрузку.
8Endpoint Detection and Response — класс решений для обнаружения и изучения вредоносной активности на конечных точках.
Примечательно, что на теневых ресурсах было найдено вредоносное ПО, в котором используются алгоритмы машинного обучения. Как утверждает продавец, ВПО способно самораспространяться по сети зараженного устройства и может самокопироваться на любые подключенные внешние носители.
Возможно, утечки подобных продуктов создадут конкуренцию на рынке киберпреступности, отчего побудят разработчиков ВПО все больше внедрять модули ИИ в инструменты для увеличения ущерба от атак и привлечения новых клиентов (не всегда профессионалов).
9EV Code Signing (Extended Validation Code Signing — сертификаты подписи кода с расширенной проверкой) — цифровая подпись, которая защищает и подтверждает подлинность программного обеспечения.
Примечательно, что зачатки такого направления уже есть в дарквебе. Например, на одном из теневых форумов ввели живую проверку продавцов. Схема работает следующим образом: поставщик выставляет свое предложение и должен выполнить тестовое задание, чтобы показать уровень предлагаемых услуг. Ревизор (представитель площадки с хорошей репутацией) оценивает качество продукта, проверяя тестовое. Если все выполнено на должном уровне, злоумышленник допускается к торговле.
Дарквеб стал настоящей витриной для тех, кто ищет киберпреступные услуги и инструменты для атак. Развитие и укрепление сервисной модели, а также утечки инструментов и пособий открывают двери для злоумышленников любой квалификации. В свою очередь, развитость рынка побуждает пользоваться подпольными продуктами и различные группировки, отчего определить киберпреступников становится все более сложной задачей при расследовании инцидентов. Важно отметить, что «теневые» продавцы пользуются теми же схемами продвижения, как и любая легальная компания, которая хочет привлекать и увеличивать поток клиентов. Это и отзывы покупателей (как положительные, так и негативные), и переход к привлекательным лендингам и удобным интерфейсам.
Особое внимание стоит уделить наблюдаемым трендам. Злоумышленники все больше фокусируются на обходе средств защиты, что подтверждает популярность криптеров и EV-сертификатов на теневых рынках. Одновременно с этим разработчики ВПО продолжают адаптировать инструменты под изменения в браузерах и других системах, чтобы оставаться конкурентоспособными. Развитие технологий также привлекает преступников, и мы видим, что постепенно внедряются модули искусственного интеллекта во вредоносное ПО.
Тенденция к укреплению экосистемности сервисов становится все более очевидной. Некоторые поставщики уже внедряют магазины журналов в панели управления ВПО и создают собственные криптомонеты. Ожидается, что такие сервисы будут включать весь спектр услуг: от покупки журналов и эксплойтов до полного набора инструментов для проведения атак в рамках единой панели управления.
Анализ стоимости кибератак показал, что первоначальные траты на необходимый инструментарий и дополнительные услуги могут начинаться от 20 000 $ (при условии, что злоумышленнику придется все покупать). При этом успешная атака может многократно окупить затраты. Это подчеркивает, насколько высок риск для организаций, которые становятся целями таких атак. Важно отметить, что последствия для компаний — не только выплата выкупа. Например, нарушение бизнес-процессов может нанести колоссальный ущерб в виде убытков в миллионы долларов.
Для организаций это сигнал о необходимости переходить к проактивной защите. Без систематического анализа теневых ресурсов и мониторинга активности злоумышленников невозможно вовремя обнаружить новые угрозы, такие как эксплойты, уязвимости или актуальные инструменты атак. Поэтому первым шагом является налаживание процессов threat intelligence. С учетом приведенных в исследовании трендов и прогнозов, организациям следует переходить к подходу, основанному на идее . Такой подход к выстраиванию защиты позволит исключить возможность реализации недопустимых событий и нанесения компании неприемлемого ущерба. Недопустимые события, определяемые топ-менеджментом с учетом специфики бизнеса, помогут сфокусировать усилия на предотвращении наиболее критически опасных рисков.
Кроме того, мы рекомендуем применять межсетевые экраны уровня приложений (). Для защиты устройств от современного вредоносного ПО стоит использовать , которые позволяют проанализировать поведение файлов в виртуальной среде, выявить вредоносную активность и предотвратить потенциальный ущерб. А для проверки результативности уже используемых средств защиты почты можно воспользоваться специальными . Не следует забывать про сбор и анализ событий безопасности, здесь следует применять системы класса (security information and event management). Для обнаружения продвинутых атак, расследования инцидентов и оперативного реагирования на угрозы следует использовать -решения (extended detection and response). Организациям следует развивать для устранения и отслеживания трендовых уязвимостей. Следует также использовать решения (network traffic analysis) для поведенческого анализа сетевого трафика и обнаружения хакерских атак и другой злонамеренной активности.
VPN (Virtual private network — виртуальная частная сеть) необходим для обеспечения безопасных и анонимных соединений. При использовании VPN трафик злоумышленника шифруется, а его данные и местоположение остаются скрытыми. Цена на VPN-сервисы начинается от 4 $ в месяц. Но здесь злоумышленники разделяются по предпочтениям. Одни используют легальные коммерческие продукты, другие арендуют в подполье, а третьи создают свой инструмент. Кроме того, для скрытности и анонимности киберпреступники активно используют прокси-серверы, которые помогают скрыть реальный IP-адрес, но, в отличие от VPN, трафик пользователя не шифруется.
Немаловажным компонентом для кибератак являются выделенные серверы. Стоимость аренды начинается от 100 $ в месяц, и, как правило, такие серверы используют для создания командных центров или хостинга.
Рисунок 53. Объявление о продаже выделенных серверов
Так, для фишингового сайта, помимо хостинга, еще необходимо доменное имя. Оно позволяет добавить немного легитимности для вредоносного ресурса. А цены за такую услугу начинаются от 2 $, хотя окончательная стоимость зависит от доменной зоны. Кроме того, в комплекте либо как дополнительная услуга может идти SSL-сертификат4, который повышает уровень доверия к сайту.4SSL-сертификат (Secure Sockets Layer) — цифровой сертификат, который зашифровывает данные, передаваемые между пользователем и сайтом. В браузере такой ресурс отображается со значком замка рядом с адресом, используется протокол HTTPS вместо HTTP.
Рисунок 54. Продажа доменов
Услуги по взлому ресурсов пользуются большим спросом в дарквебе, объявления о них составляют значительную часть сообщений — 49%. Чаще всего это связано не с громкими атаками на организации, как принято думать, а с более простыми задачами: доступом к личным данным, взломом аккаунтов в социальных сетях и мессенджерах, поиском уязвимостей на сайтах или компрометацией корпоративных почт. Отметим, что заказчиками таких услуг могут быть не только мошенники или частные лица, но и компании, стремящиеся получить преимущество, например доступ к конфиденциальной информации конкурентов. Цены за компрометацию личного почтового аккаунта могут начинаться от 100 $, а за взлом корпоративного почтового ящика придется заплатить уже 200 $.Кроме того, цена может варьироваться в зависимости от вероятности успешности атаки. Так, на одном из теневых форумов предлагалась услуга по взлому телеграм-аккаунта за 7000 и 9000 рублей с вероятностью успеха 50 и 70% соответственно.
Рисунок 55. Объявление о предоставлении услуги по взлому Telegram
Растущий спрос на взлом хешей
Запрос на взлом хеша становится все более популярным на теневых форумах. Например, в конце 2023 года он достиг рекордного уровня, а затем снизился на 29% в первом квартале 2024-го. Несмотря на это, к третьему кварталу 2024 года количество запросов снова резко возросло, установив новый максимум. Хеш используется для ряда задач: проверки целостности данных при передаче или защиты файлов. Однако для пользователей наиболее распространенная форма хеширования — хранение пароля. Например, когда вы создаете аккаунт на сайте и вводите пароль, ресурс не сохраняет его в открытом виде. Вместо этого он преобразует пароль в уникальный набор символов. Даже если злоумышленник украдет базу данных, он получит не сами пароли, а только эти хеши.Рисунок 56. Количество сообщений на тему взлома хешей (по кварталам)
Рост спроса на такие услуги связан с несколькими факторами. Пользователи используют слабые и предсказуемые пароли. Так, исследователи NordPass антирейтинг паролей. Они проанализировали базу данных объемом 2,5 ТБ, полученную из открытых источников. В рейтинг вошли такие пароли, как «123456» или „password“, что означает одно — облегчение процесса взлома хеша.
Не стоит забывать и про криптовалюты. С ростом интереса киберпреступников к ним, злоумышленники все чаще обращают внимание на хеши, взлом которых может привести к краже средств с криптокошельков.
- Криптовалюты используют хеши для подтверждения транзакций и защиты доступа к кошелькам, что делает их привлекательной целью для злоумышленников.
- Стоимость услуги начинается от 10 $.
Стоимость атаки
На первый взгляд может показаться, что кибератаки требуют минимальных вложений, но в реальности подготовка и покупка инструментов, особенно для начинающих преступников, обходятся дорого. Приведенная ниже схема описывает стоимость подготовки (с учетом, что преступник начинающий) одного из популярных векторов атак среди злоумышленников.
Рисунок 57. Стоимость подготовки атаки и возможная прибыль
На этом этапе злоумышленникам необходимо закупить все инструменты и услуги для проведения кибератаки. Первым шагом становится создание инфраструктуры. Для этого они приобретают прокси-серверы и VPN, а также арендуют выделенные серверы (dedicated servers), чтобы создать анонимную и защищенную среду для управления атаками. Следующий этап — покупка инструментария. Одним из ключевых элементов является приобретение CobaltStrike-фреймворков для постэксплуатации и загрузчика. Для того чтобы сделать ВПО полностью необнаруживаемым (FUD — Fully Undetectable) антивирусами, злоумышленники также покупают EV-сертификаты для подписи файлов и криптеры.Понимая, что их навыков может быть недостаточно (если мы говорим о новичках), киберпреступники обращаются за консультациями по настройке всей инфраструктуры и использованию CobaltStrike. В дополнение они могут присоединяться к банде шифровальщиков, чтобы использовать уже готовое вредоносное ПО и не заниматься его разработкой самостоятельно. Как мы выяснили, чтобы присоединиться к группировке, недостаточно только желание, нужны еще: вступительный взнос и репутация в подполье. Поэтому злоумышленники могут купить либо исходный код шифровальщика, либо билдер.
Для получения доступа в инфраструктуру организации преступники могут пойти несколькими путями: отправить фишинговые сообщения жертвам, искать уязвимости на сетевом периметре или покупать доступы на теневых ресурсах. Например, злоумышленники могут сканировать открытые порты на наличие устаревшего ПО или уязвимости. В случае, если в системе не обнаружены известные уязвимости, хакеры могут воспользоваться услугами повышения привилегий, доступными на теневых рынках.
Подготовительный этап требует значительных затрат. Общие расходы на инфраструктуру, покупку инструментов и услуги, а также консультации могут составлять от 20 000 $. Отметим, что цена может варьироваться в зависимости от приобретаемых продуктов. Использование шифровальщика в формате RaaS означает, что 10–30% от итогового выкупа уходит разработчикам вредоносного ПО.
Coveware, во втором квартале 2024 года средняя сумма выкупа выросла и составила 391 015 $ (рост на 2,4% по сравнению с первым кварталом того же года), а медианная сумма выкупа снизилась до 170 000 $ (снижение на 32% по сравнению с первым кварталом того же года). Поэтому киберпреступники предположительно могут получить 120 000–150 000 $ после выплаты комиссии разработчикам ПО и инструментов для проведения атак. Если вычесть расходы на все необходимые инструменты и услуги, чистая прибыль злоумышленника может составить 100 000–130 000 $ при успешной атаке.
Для организаций последствия подобных атак могут быть намного серьезнее, чем выплата выкупа. Например, в июне 2024 года технологическая компания CDK Global стала жертвой вымогательской атаки, которая парализовала работу серверов компании на две недели. В результате инцидента около 15 000 автодилеров по всей территории США столкнулись с остановкой продаж. Стоит отметить, что компания в размере 25 миллионов долларов, а финансовые потери дилеров из-за простоя системы CDK за первые две недели оцениваются в более чем 600 миллионов долларов.
Развитие теневого рынка
Как известно, с 2015 года услуги на теневых ресурсах начали перенимать подписочную модель из легального бизнеса. В ходе этой трансформации появились различные подписочные бизнес-модели, выделим четыре наиболее популярных подхода: MaaS (Malware-as-a-Service), RaaS (Ransomware-as-a-Service), PhaaS (Phishing-as-a-Service), DaaS (DDoS-as-a-Service). Благодаря преимуществам подписочной модели распространения продуктов, современному злоумышленнику уже не надо самостоятельно разрабатывать необходимые инструменты для проведения атак. Теперь же подполье больше напоминает легальный бизнес, где предоставляется поддержка клиентов, выходят регулярные обновления (как мы выяснили выше).С каждым кварталом мы отмечаем появление новых сервисов. Например, фишинговые наборы, распространяющиеся по модели PhaaS (Phishing-as-a-Service, фишинг как услуга): или . А некоторые из них становятся большой проблемой для организаций. Так, летом 2023 компания Proofpoint о крупной кампании, в ходе которой с помощью одного из фишинговых наборов было отправлено около 120 000 мошеннических электронных писем сотням организаций по всему миру. Немаловажно, что специалисты Proofpoint использование этого инструмента группировкой TA4903.
Далее разберем как рынок подполья продолжает развиваться сейчас.
«Рынок шифровальщиков за 100»
В экосистеме подполья существует свой монополист в сфере шифровальщиков (большинство известных крупных игроков именно там и рекламируют свои продукты). Но доступ на форум получают пользователи с высокой репутацией на других крупных теневых форумах или путем внесения оплаты в размере 500 $. Как мы говорили ранее в исследовании, этот ход отсекает ряд случайных пользователей. Стоит отметить, что на многих англоязычных подпольных площадках запрет на рекламирование и продажу программ-вымогателей отсутствует. При таком подходе создается отдельный рынок дешевых программ-вымогателей. Благодаря низкой стоимости такие ВПО обладают массовой доступностью и охватывают широкую аудиторию. В отличие от сложной инфраструктуры крупных программ-вымогателей, бюджетные вредоносные программы позволяют киберпреступникам действовать дешево и независимо. Они могут нацеливаться на малый и средний бизнес, у которого вряд ли есть ресурсы для защиты или эффективного реагирования на инциденты. После совершения успешной кибератаки злоумышленники могут требовать маленький выкуп (в сравнении с более крупными представителями индустрии). Это побуждает компании выплачивать денежные средства, например, в размере нескольких тысяч долларов, ведь это будет гораздо меньше, чем затраты на расследование и восстановление данных.
Рисунок 58. Объявления о продаже дешевых шифровальщиков
Стоить отметить разницу в стоимости исходного кода подобных ВПО. Например, на одном из теневых форумов в объявлении была указана цена исходного кода шифровальщика в размере 8000 $, что почти в 38 раз меньше стоимости его «старшего брата» .
- Медианная стоимость исходного кода дешевых шифровальщиков на одном из теневых форумов составляет 400 $. Цена может начинаться от 50 $.
Неуловимость и кастомизация ВПО
Злоумышленники активно адаптируют свои методы для повышения эффективности атак. Одним из таких шагов стало создание теневых аналогов популярных сервисов для проверки файлов на вредоносную активность. Как известно, легальные площадки позволяют пользователям загружать файлы и проверять их на наличие различных вирусов с использованием множества антивирусных движков. Главное отличие теневых проверок файлов от легальных аналогов состоит лишь в том, что легальные площадки делятся данными с компаниями, которые разрабатывают антивирусы. Чтобы не делать этого, неэтичные хакеры создали подпольные аналоги, которые работают по тому же принципу: анализируют файлы на наличие детектирования антивирусами, но при этом не передают результаты в организации, которые занимаются разработкой антивирусов. Такие решения еще раз демонстрируют, как рынок подполья эволюционирует, перенимая технологии легального бизнеса для повышения эффективности и закрывая потребности киберпреступников.
- Стоимость одной проверки файла составляет 0,1 $. Если злоумышленнику требуется проверять большое количество файлов регулярно, для этого предлагается ежемесячная подписка от 25 $.
Рисунок 59. Теневые аналоги VirusTotal
Например, в январе 2024 года компания в области кибербезопасности одну из программ-вымогателей. Но примечателен здесь не сам анализ, а объявление о вредоносной программе на одном из теневых форумов. Рекламируя шифровальщик, злоумышленник предлагал кастомизацию ВПО для каждой отдельной атаки. Благодаря этому (использованию билдера) вредоносная программа становится лучше подготовлена для атаки на конкретную цель. Это значительно увеличивает вероятность успешного проникновения в системы жертвы и нанесения максимально возможного ущерба.
Рисунок 60. Объявление о партнерской программе банды шифровальщиков
Существуют также отдельные сервисы для кастомизации вредоносных файлов, после использования которых, например, можно будет обходить проверки VirusTotal (VirusTotal bypass). Это означает, что файл не будет определяться антивирусными программами как вредоносный.
Рисунок 61. Услуга по обходу VirusTotal
Демоверсия как инструмент привлечения клиентов
Важным изменением на теневых рынках стало активное введение пробных периодов или демоверсий продуктов. Предоставление бесплатного тестового периода снижает порог входа для потенциальных покупателей. Без необходимости немедленной оплаты они могут оценить продукт без особого риска, что особенно привлекательно в рамках переполненности теневого рынка с множеством предложений, которые соперничают за внимание клиента. Подобные изменения не только позволяют расширить клиентскую базу, но и стимулируют подполье ориентироваться на сервисную модель.
Рисунок 62. Объявления о предоставлении бесплатного тестового периода
Новый виток развития теневой экономики
Киберпреступность постоянно развивается, внедряются новые технологии для улучшения мошеннических схем. Стало известно, что операторы одного из вредоносных программных обеспечений в апреле 2024 года запустили собственный коин (цифровой актив, криптовалюта) и NFT (non-fungible token — цифровой актив, который может быть представлен в виде фотографии, видео и др.) на базе блокчейна TON (The Open Network). Такой шаг может быть новым способом заработка для злоумышленников. В свою очередь, он дает возможность преступникам построить вокруг монеты уникальную экосистему. Например, возможно появится оплачивать продукт или получать эксклюзивные предложения, недоступные для обычных пользователей.
Рисунок 63. Криптомонета и NFT разработчиков ВПО
Магазин журналов внутри администраторской панели стилеров
На одном из теневых форумов появилось нововведение — магазин журналов прямо в панели управления ВПО. Журналы — наборы данных, которые злоумышленники получают после взлома, например учетные записи банковских приложений, социальных сетей, криптокошельков и конфигурации VPN других сервисов. Добываются сведения при помощи стилера (stealer — вредоносное ПО для кражи данных). Для преступников журналы — не просто набор данных, а источник дальнейшей монетизации. В них может скрываться довольно ценная информация, например доступ к администраторской панели сайта, учетные данные крупных аккаунтов в социальных сетях или данные платежных карт. Кроме того, в журналах могут быть конфиденциальные данные, которые полезны для атак на организации, например конфигурации VPN, ключи доступа к репозиториям, SSH-ключи и сведения о 2FA (Two-factor authentication — двухфакторная аутентификация).Стоит отметить, что на теневых ресурсах можно купить уже украденные журналы. Часто продают старые, уже использованные данные, которые теряют свою актуальность (пароли сменили, сессии истекли, деньги с криптокошельков вывели). Возможно, это повлияло на появление нового элемента в теневой среде — магазина журналов прямо в панели управления. Новшество позволяет продавать уже использованные журналы (но не до конца отработанные) или не подошедшие киберпреступникам. Создав подрынок журналов стилера, злоумышленники расширили свое влияние, что в конечном счете сводится к одному: больше клиентов, больше финансовой прибыли, но и больше потенциальных жертв.
Рисунок 64. Объявление о добавлении магазина журналов в панель
Что ожидать в будущем
Укрепление сервисной модели
Распространение сервисной модели снижает необходимый уровень знаний для преступников, и такой подход объясняет, почему количество кибератак не снижается. Так, количество инцидентов в 2024 году больше на 16%, чем годом ранее.Рисунок 65. Количество инцидентов в 2022–2024 годах
Мы предполагаем, что в ближайшем будущем появятся новые виды сервисов, позволяющие проводить кибератаки буквально «в один клик». Возможно, такие решения будут настолько автоматизированы благодаря развитию искусственного интеллекта5, что злоумышленнику достаточно будет выбрать цель и нажать «Запустить атаку». Решение откроет дверь для тех, кто раньше не мог участвовать в преступной деятельности из-за недостатка знаний или навыков.
5Уже известно, что киберпреступники могут использовать для генерации вредоносного кода.
В будущем теневые сервисы, возможно, смогут выйти на новый уровень экосистемности, предоставляя злоумышленникам шанс получать все необходимые инструменты и услуги в рамках одного поставщика. Такие сервисы будут интегрировать оплату, магазины журналов, доступ к эксплойтам и установку дополнительных модулей для вредоносного ПО в единой системе.
EaaS
Еще одним возможным вариантом может стать развитие EaaS (Exploit-as-a-Service— эксплойт как услуга). Как известно, стоимость 0-day-уязвимостей может доходить до миллионов долларов, но не у всех злоумышленников имеются такие средства. Модель EaaS позволит киберпреступникам сдавать в аренду эксплойты вместо продажи одному человеку. В свою очередь, это приведет к увеличению числа злоумышленников, способных эксплуатировать уязвимости, а также к обогащению разработчиков эксплойтов.
Предвестником сервиса уже можно назвать использование злоумышленниками эксплойт-китов (exploit kits — программный пакет, используемый киберпреступниками для автоматизации эксплуатации уязвимостей сайтов и веб-приложений). Одним из примеров является RIG EK. Согласно , набор эксплойтов достиг высокого уровня использования в 2022 году (треть успешных атак), при этом ежедневно пользователи совершали около 2000 попыток взлома с его помощью.
Dark access for all
Первое, что представляется при упоминании Access-as-a-Service (доступ как услуга), — продажа доступов в корпоративную инфраструктуру компаний. Однако эта услуга развивается, появляется от крупного теневого форума. Начиная с декабря 2023 года на теневых ресурсах было размещено множество объявлений о продаже аккаунтов к одной из популярных дарквеб-площадок. Для общего понимания: чтобы стать участником форума, претенденты должны продемонстрировать технические навыки, а также иметь репутацию в киберпреступном сообществе. Мы предполагаем, что рынок продажи аккаунтов от популярных теневых площадок будет продолжать развиваться, что может привести к росту числа злоумышленников, и, соответственно, к увеличению количества кибератак. Ведь теперь вход на закрытые форумы открыт и менее квалифицированным хакерам.
Рисунок 66. Объявления о продаже аккаунтов к закрытому теневому форуму
Встречайте, Nighthawk и Brute Ratel C4
На протяжении первого полугодия 2024 года мы часто слышали об использовании злоумышленниками фреймворка Sliver. Это фреймворк для пентеста с открытым исходным кодом, позволяющий создавать и управлять имплантами, которые могут выполнять различные действия на зараженных системах: повышение привилегий, кражу учетных данных, перемещение внутри периметра. И по итогам Sliver стал одним из трендов у киберпреступников. Сейчас же ситуация складывается следующим образом: на теневых ресурсах начали активно интересоваться Nighthawk6. Хотя на момент написания исследования неизвестно, были ли утечки этого инструмента, интерес злоумышленников и готовность платить немалые деньги (например, в одном из объявлений предлагали 50 000 $) говорят о том, что в скором времени мы увидим Nighthawk в руках высококвалифицированных APT-группировок или менее опытных хакеров (после утечки версии трояна на теневых ресурсах).6Nighthawk — коммерчески распространяемый троян удаленного доступа (RAT), созданный компанией MDSec.
Рисунок 67. Объявления-запросы на покупку Nighthawk
Интерес у киберпреступников вызывает и Brute Ratel C4. Инструмент обладает схожими возможностями с CobaltStrike7 и был разработан специально для обхода систем обнаружения угроз, таких как EDR-система8 и антивирусы. Но в отличие от Nighthawk Brute Ratel C4 стал доступен широкому кругу лиц (версия 1.4.5 в июле 2024 года была выложена в открытый доступ на теневых форумах). Стоит отметить, что этот инструмент уже используют в кибератаках. Например, в июле 2024 года команда Knownsec 404 Advanced Threat Intelligence потенциальную атаку на Бутан, организованную группировкой Patchwork (APT-C-09), которая использовала Brute Ratel C4.7Фреймворк для проведения тестов на проникновение, позволяющий доставлять на компьютер жертвы полезную нагрузку.
8Endpoint Detection and Response — класс решений для обнаружения и изучения вредоносной активности на конечных точках.
Рисунок 68. Объявление о раздаче Brute Ratel C4
Инструменты с модулями ИИ
На протяжении 2024 года в квартальных аналитиках мы отмечали рост интереса злоумышленников к искусственному интеллекту и инструментам на его базе, который и дальше не будет спадать по ряду причин: ИИ может автоматизировать множество задач, таких как сканирование на наличие уязвимостей, создание фишинговых писем или анализ данных. Кроме того, разработчики ВПО активно внедряют технологию оптического распознавания символов (OCR — optical character recognition), что мы отмечали во втором квартале 2024 года. А в сентябре того же года исследователи McAfee новый тип ВПО SpyAgent для Android, который использует OCR для кражи фраз мнемонических ключей (обеспечивает восстановление доступа к криптокошельку в качестве резервного ключа) из изображений на устройстве.Примечательно, что на теневых ресурсах было найдено вредоносное ПО, в котором используются алгоритмы машинного обучения. Как утверждает продавец, ВПО способно самораспространяться по сети зараженного устройства и может самокопироваться на любые подключенные внешние носители.
Рисунок 69. Описание функций ВПО
Но не стоит забывать и про автоматизированные легальные средства. Существует инструмент для автоматизации тестирования на проникновение от компании Ridge Security — RidgeBot. Например, продукт сам идентифицирует и эксплуатирует уязвимости в системах. Однако стоит отметить, что RidgeBot был выложен на теневых ресурсах (стоимость составляет 1000 $). Утечка делает инструмент доступным для злоумышленников, что может привести к серьезным последствиям. Используя автоматизированный инструмент, киберпреступники способны украсть конфиденциальные данные у компаний и в дальнейшем потребовать выкуп за их возврат. Кроме того, злоумышленники могут нанести серьезный ущерб системам, что приведет к затратам на восстановление стоимостью миллионы долларов.Возможно, утечки подобных продуктов создадут конкуренцию на рынке киберпреступности, отчего побудят разработчиков ВПО все больше внедрять модули ИИ в инструменты для увеличения ущерба от атак и привлечения новых клиентов (не всегда профессионалов).
Рисунок 70. Объявление о продаже RidgeBot
Получите и распишитесь
На теневых ресурсах злоумышленники активно интересуются и продают EV-сертификаты9. Для получения EV Code Signing издатели и разработчики программного обеспечения проходят строгую проверку и аттестацию. Центр сертификации (CA — certificate authority) требует предоставить данные, подтверждающие подлинность компании, например факт существования организации физически и юридически. И теперь злоумышленники берут этот метод на вооружение, так как EV-сертификат не только позволяет обходить средства защиты Windows (например, Microsoft SmartScreen), но и уменьшает шанс обнаружения антивирусами. Мы предполагаем, что подобные услуги будут пользоваться большим спросом у киберпреступников, что ознаменует рост числа предложений на теневых ресурсах. Стоит отметить, что в августе 2024 года компания Intrinsec выпустила о развивающемся рынке использования сертификатов с расширенной проверкой.9EV Code Signing (Extended Validation Code Signing — сертификаты подписи кода с расширенной проверкой) — цифровая подпись, которая защищает и подтверждает подлинность программного обеспечения.
Рисунок 71. Объявление о продаже EV Code Signing
Спрос рождает предложение и, конечно, может повлиять на появление мошеннических схем. В теневой экономике некоторые злоумышленники видят хорошую возможность обмана при продаже новых востребованных услуг. Вместо того чтобы действительно предоставлять обещанный продукт, они обманывают клиентов.
Рисунок 72. Сообщение об обмане участника теневого форума
Темный ревизор
В легальном бизнесе есть такое понятие, как ревизор или тайный покупатель — человек, который проверяет качество обслуживания, выдавая себя за обычного клиента. Тайные покупатели оценивают уровень сервиса или качество продукции. Скорее всего, такой метод проверки не обойдет стороной и теневые ресурсы, где продавцы также борются за внимание покупателей. С введением роли «теневого ревизора» конкуренция между поставщиками решений значительно возрастет, что приведет к росту качества киберпреступных услуг.Примечательно, что зачатки такого направления уже есть в дарквебе. Например, на одном из теневых форумов ввели живую проверку продавцов. Схема работает следующим образом: поставщик выставляет свое предложение и должен выполнить тестовое задание, чтобы показать уровень предлагаемых услуг. Ревизор (представитель площадки с хорошей репутацией) оценивает качество продукта, проверяя тестовое. Если все выполнено на должном уровне, злоумышленник допускается к торговле.
Рисунок 73. Сообщение о допуске к торговле на основании выполненного тестового задания
Заключение
За годы развития теневые ресурсы стали высокоорганизованной экосистемой со своими правилами и теми, кто следит за их выполнением. Есть также и регулирование сделок, чтобы минимизировать риск обмана.Дарквеб стал настоящей витриной для тех, кто ищет киберпреступные услуги и инструменты для атак. Развитие и укрепление сервисной модели, а также утечки инструментов и пособий открывают двери для злоумышленников любой квалификации. В свою очередь, развитость рынка побуждает пользоваться подпольными продуктами и различные группировки, отчего определить киберпреступников становится все более сложной задачей при расследовании инцидентов. Важно отметить, что «теневые» продавцы пользуются теми же схемами продвижения, как и любая легальная компания, которая хочет привлекать и увеличивать поток клиентов. Это и отзывы покупателей (как положительные, так и негативные), и переход к привлекательным лендингам и удобным интерфейсам.
Особое внимание стоит уделить наблюдаемым трендам. Злоумышленники все больше фокусируются на обходе средств защиты, что подтверждает популярность криптеров и EV-сертификатов на теневых рынках. Одновременно с этим разработчики ВПО продолжают адаптировать инструменты под изменения в браузерах и других системах, чтобы оставаться конкурентоспособными. Развитие технологий также привлекает преступников, и мы видим, что постепенно внедряются модули искусственного интеллекта во вредоносное ПО.
Тенденция к укреплению экосистемности сервисов становится все более очевидной. Некоторые поставщики уже внедряют магазины журналов в панели управления ВПО и создают собственные криптомонеты. Ожидается, что такие сервисы будут включать весь спектр услуг: от покупки журналов и эксплойтов до полного набора инструментов для проведения атак в рамках единой панели управления.
Анализ стоимости кибератак показал, что первоначальные траты на необходимый инструментарий и дополнительные услуги могут начинаться от 20 000 $ (при условии, что злоумышленнику придется все покупать). При этом успешная атака может многократно окупить затраты. Это подчеркивает, насколько высок риск для организаций, которые становятся целями таких атак. Важно отметить, что последствия для компаний — не только выплата выкупа. Например, нарушение бизнес-процессов может нанести колоссальный ущерб в виде убытков в миллионы долларов.
Для организаций это сигнал о необходимости переходить к проактивной защите. Без систематического анализа теневых ресурсов и мониторинга активности злоумышленников невозможно вовремя обнаружить новые угрозы, такие как эксплойты, уязвимости или актуальные инструменты атак. Поэтому первым шагом является налаживание процессов threat intelligence. С учетом приведенных в исследовании трендов и прогнозов, организациям следует переходить к подходу, основанному на идее . Такой подход к выстраиванию защиты позволит исключить возможность реализации недопустимых событий и нанесения компании неприемлемого ущерба. Недопустимые события, определяемые топ-менеджментом с учетом специфики бизнеса, помогут сфокусировать усилия на предотвращении наиболее критически опасных рисков.
Кроме того, мы рекомендуем применять межсетевые экраны уровня приложений (). Для защиты устройств от современного вредоносного ПО стоит использовать , которые позволяют проанализировать поведение файлов в виртуальной среде, выявить вредоносную активность и предотвратить потенциальный ущерб. А для проверки результативности уже используемых средств защиты почты можно воспользоваться специальными . Не следует забывать про сбор и анализ событий безопасности, здесь следует применять системы класса (security information and event management). Для обнаружения продвинутых атак, расследования инцидентов и оперативного реагирования на угрозы следует использовать -решения (extended detection and response). Организациям следует развивать для устранения и отслеживания трендовых уязвимостей. Следует также использовать решения (network traffic analysis) для поведенческого анализа сетевого трафика и обнаружения хакерских атак и другой злонамеренной активности.
