Сьогодні даркнет більше не «темний»

Компанія Dell SecureWorks випустила новий звіт про підпільні ринки хакерських послуг. У дослідженні йдеться про те, що хакери активно підвищують якість послуг і масштабно їх просувають.

Аналітики компанії сфокусувалися на активності та пропозиції на підпільних форумах і ринках по всьому світу, особливо на англомовних та російських.

Фахівці організацій з кібербезпеки постійно стежать за хакерами і шахраями в «темних кутках» інтернету, обчислюють злочинців і передають інформацію для упіймання спецслужбам. Але далеко не всіх порушників вдається притягнути до відповідальності, особливо якщо мова йде про дрібні крадіжки і зломи.

Недооцінена загроза може швидко перетворитися у величезну «пробоїну» з усіма витікаючими наслідками. Тому людям і цілим компаніям важливо розуміти, що відбувається і робити відповідні висновки.

Багато користувачів переконані, що для відбиття атак досить антивірусних програм, а складні паролі захистять акаунти у соціальних мережах та поштових сервісах.

Насправді, якщо хтось вирішить отримати закриту інформацію, щоб потім вкрасти гроші у окремого користувача або цілої компанії, то середньостатистична людина навряд чи це помітить і зможе самостійно розібратися в проблемі.

Ні антивірус, ні брандмауер не врятують.

Як відзначають експерти Dell SecureWorks, російські хакери збільшують кількість робочих годин і пропонують проводити операції через поручителів-посередників, які забезпечують успішне виконання завдання та переказ грошей. Також фахівці компанії помітили зниження цін на деякі послуги кіберзлочинців у порівнянні з запитами в попередні роки. Це пов'язують зі зниженням витрат на злом.

«Я не сказав би, що послуги хакерів падають в ціні. Зниження ринкової вартості означало б падіння попиту на їх послуги, але, на жаль, це не так. Паралельно з розвитком IT-сфери рухається індустрія інформаційної безпеки і допомагає як компаніям, так і звичайним людям (згадайте недавню новину про включення шифрування в WhatsApp) вибудовувати ешелонований захист проти кіберзлочинців. В цих умовах зловмисникам доводиться глибше і серйозніше опрацьовувати схеми атак для того, щоб отримати цікаву і вигідну для них інформацію», — прокоментував Віктор Іванівський, менеджер з розвитку глобального бізнесу компанії Group-IB. Недорого і ефективно.

Згідно з матеріалами дослідження, в середньому за злом корпоративної пошти хакери вимагають $500, визначення IP-адреси — $90. Крім того, нелегальні «підприємці» пропонують купити набір вірусів-троянів за $5-10 або експлойт-кити для злому від $100 до $135.

Самі по собі продаються на підпільних ринках віруси прості — їх вирахують і нейтралізують антивіруси.

Щоб ускладнити життя цифровий захист, зломщики створюють шифратори вірусів, які серйозно маскують шкідливий код. Такий шифратор хакери пропонують за $80-440 в залежності від складності.

Крім того, шахраї обіцяють зламати будь-який сайт і вкрасти звідти потрібну інформацію за $350, а потім за $20 зібрати персональні дані на людину.

Крім стандартних послуг в даркнете ходять оголошення про продаж наборів навчальних курсів і безліч різних послуг «обрушиванию» серверів. Як вони це роблять? Як пояснив Віктор Іванівський, для збору інформації зловмисники воліють покладатися насамперед на цифрові інструменти — віруси, що збирають знімки екрану, файли з робочих станцій, SMS і телефонні переговори, текст, набраний на клавіатурі.
«У сукупності з прийомами соціальної інженерії і інструментами віддаленого доступу це дає злочинцям можливість виробляти атаки, що призводять до втрат бюджету у десятки мільйонів доларів. Це набагато простіше для реалізації та масштабування, а також менш ризиковано порівняно з інсайдерською діяльністю», — зазначив Івановський.

Близьке до теми джерело розповіло «Газете.Ru», що набори вірусів, шифратори, номери карт, паролі і дані компаній насправді можна було знайти в надлишку і до існування даркнета.

Хакери оцінюють не тільки тип інтерфейсів веб-сервісів, але і серверів, а також аналізують потоки користувачів і даних.

«Після такого дослідження стає зрозуміло, на які з перерахованих вузлів простіше знайти уразливості, а на які — складніше», — розповіло джерело.

За його словами, в даркнете є постачальники експлойтів і списків вразливостей, проте не всі це обов'язково публікується. Існує стадія перевірки та пошуку покупців конкретної уразливості в особі створила програму або сервіс компанії, її конкурентів і компаній з IT-безпеки. Великі компанії в якості винагороди часто пропонують роботу.

На думку анонімного джерела, економіка «тіньового» інтернету більше заточена під дрібні і «сірі» справи, а на серйозні зломи чогось захищеного покупців навряд чи вдасться знайти: занадто дорого і небезпечно для аудиторії таких сайтів.

«Серйозні хлопці зі старих і нових груп спілкуються один з одним в зашифрованих месенджерах, при цьому дізнатися один про одного вони можуть з офіційних конкурсів на злом та інших подібних заходів. Дуже багато познайомилися навколо криптоанархических або киберкоммунистических проектів», — пояснив він. Даркнет більше не «темний».

Один з продавців популярного підпільного ринку розповів «Газете.Ru», що, на його думку, на цих майданчиках складається типова ситуація: з розширенням обсягів збільшується кількість не тільки послуг високого рівня від «визнаних» постачальників, але і велика кількість низькоякісних навчальних курсів або безкоштовних керівництв по злому.

При цьому в полі незаконної діяльності працюють всі ті ж ринкові закони: жорстка конкуренція між шахраями змушує їх працювати над дизайном і функціональністю підпільних бірж.

«Сьогодні даркнет, або як вам завгодно його називати, більше не такий вже і «темний».

Зміст анонімної біржі — це практично відкриття звичайного онлайн-магазину, але з низкою загроз, про яких треба дбати, хакерами, шахраями та державними службами, які довели свою здатність успішно закривати ці сервіси і біржі», — прокоментував продавець.

Науковий співробітник і професор Університету Карнегі — Меллон, довгий час займається вивченням анонімних ринків даркнета, Ніколя Крістін зазначає, що методика дослідження Dell SecureWorks залишає ряд питань, але в цілому тренди описані у вірному напрямку.

«Основні тренди, про які вони говорять, — професіоналізація та поліпшення якості послуг, — зовсім не здаються мені незвичайними, враховуючи, що в цілому на ринку підвищується конкуренція і кожен учасник повинен виділити себе на фоні інших. Але основне ж питання цього звіту, чи є різниця між рекламованими і фактичними якістю і ціною, залишається відкритим», — прокоментував «Газете.Ru» Ніколя Крістін.

Як захищатися. «Світові тенденції та досвід наших колег у боротьбі з кіберзлочинцями показують, що зараз для ефективної протидії немає нічого важливіше інформації. Інформації по їх активності, про що ведуться ними розробки, про злочинні схеми і способи організації атак, про те, як вони ведуть розвідку і як виробляють підготовку до операцій. Ці дані, які видобувають аналітики, інженери, фахівці груп розслідувань, допомагають представникам правоохоронних органів і організацій виходити на реальних виконавців і організаторів кіберзлочинів», — розповів Віктор Івановський.

Експерти Group-IB у своєму останньому звіті про діяльність хакерських груп прогнозують, що злодії і шахраї націлилися на мобільні платформи.

Одним з основних способів проникнення в банківську мережу залишаються фішингові листи з вкладеними експлойта, документами з макросами чи виконуваними файлами в архіві з паролем, йдеться в звіті Group-IB.

Фахівці рекомендують наступні заходи захисту: навчатися і підвищувати знання про загрози, використовувати двофакторну аутентифікацію, зберігати копії всіх документів, шифрування листування електронною поштою, по можливості не використовувати один і той же пристрій для спілкування і банківських операцій, обов'язково стежити за оновленнями антивірусів і операційної системи, бути уважними, не встановлювати незнайомі розширення, програми «прискорення завантаження» та інші подібні речі, особливо безкоштовні.

Компанії повинні обов'язково стежити за можливими слабкими місцями в мережі, залучати експертів для дослідження і захисту, встановлювати системи виявлення та запобігання проникнень, проводити сканування вразливостей, відстежувати активність всередині мережі і скоротити кількість користувачів з правами адміністратора.

«Якщо дивитися на короткий момент часу, то балансу немає: ринок IT і розробники реагують на великі вразливості тільки за фактом і досить пізно. Це також видно з еволюції шифрування. Якщо ж розглядати довгострокову перспективу, то баланс існує: користувачам потрібна безпека, і вони довіряють сервісам з хорошою репутацією, тому ринок безпеки вдосконалюється. Але він завжди запізнюється за зломами і навіть за інформацією про уразливості», — відзначає джерело, говорячи про баланс в кібербезпеки.

---------
Посилання: http://digest.subscribe.ru/inet