В начале 2023 года спецслужбы активно взялись за дарквеб: арестовали владельца крупного теневого форума Breached, захватили серверы группировки вымогателей Hive и перехватили контроль над популярным у мошенников мессенджером Exclu. Но этих мер оказалось мало, чтобы очистить мир от киберпреступности. Мы, аналитики Positive Technologies, прошерстили другую сторону интернета и выяснили, что сейчас интересно злоумышленникам. Если коротко — Ближний Восток. Хакеры ежедневно предлагают купить доступы к местным компаниям, продают гигантские базы данных и не стесняясь показывают, насколько этот регион беззащитен даже перед неопытными мошенниками.
Подробности нашего ралли по кибербарханам ищите в полном отчете , а под катом — немного спойлеров.
ОАЭ и Саудовская Аравия — в топе злоумышленников
Мы проверили больше 250 форумов и каналов в Telegram, а это, на минуточку, около 92 млн сообщений. Больше всего хакеры пишут про ОАЭ (46%) и Саудовскую Аравию (23%). Гораздо менее популярны Катар (10%), Кувейт (8%), Бахрейн (7%) и Оман (6%).
Доля сообщений на форумах по странам
Киберпреступники знают, что на Ближнем Востоке огромное количество высококачественной нефти, которое позволяет государственным компаниям строить шикарные искусственные острова и платить футболистам сотни миллионов евро в год. А значит, по мнению хакеров, у компаний арабского мира найдутся деньги и для них.
Классический пример сообщения в дарквебе: злоумышленник предлагает всем желающим приобрести доступ к компании с офисом в Дубае и доходом 500 млн долларов. Что это за организация — неизвестно, но, судя по количеству сотрудников, а их 8000 человек, — потенциальный покупатель имеет дело с крупным бизнесом. Стартовая цена лота — 1500 $.
Продажа доступа к компании, связанной с нефтегазовой промышленностью
Восточный дарквеб-базар
Данные — с отрывом самый популярный товар на киберпросторах Ближнего Востока. Треть всех найденных сообщений в дарквебе относится к их покупке или продаже. И поверьте, злоумышленникам совсем неинтересны закрытые фотографии в соцсетях и частные переписки в мессенджерах. Персональные и учетные данные обычных людей облегчают хакерам последующий взлом компании, где работает жертва.
Доли сообщений по категориям
При этом интересно, что далеко не за все данные хакерам приходится платить. В дарквебе 31% всех данных компаний стран Персидского залива распространяется бесплатно. Происходит это из-за хактивистов: зачастую они занимаются темными делами не для финансовой выгоды, а по политическим соображениям, поэтому и готовы за бесценок отдавать терабайты ценнейшей для киберпреступников информации. Еще одна каста злоумышленников Робин Гудов — вымогатели. Они тоже частенько бесплатно публикуют данные своих жертв, но только с одним нюансом — если те отказались платить выкуп.
Доступы от 35 $
Злоумышленники используют доступы для развития дальнейшей атаки, в результате которой могут получить базы данных и продать их другим хакерам. Цена на такие доступы стартует от 35 $ и доходит до 40 000 $. Наибольшее количество предложений (49% от общего количества) представлено в диапазоне от 100 $ до 1000 $. Например, предлагается заплатить 5,5 тыс. долларов за доступ к строительной компании в Бахрейне.
Объявление о продаже доступа к строительной компании
Интересно, что 90% всех доступов имеют права администратора. Учитывая этот фактор, а также невысокую стоимость доступа, даже неопытные злоумышленники с небольшим бюджетом могут провести успешную атаку. Однако в дарквебе есть и дорогостоящие товары — доступы к компаниям-гигантам могут стоить заметно дороже и использоваться хакерами с более высоким уровнем подготовки для проведения сложных атак.
При этом доступы с пользовательскими правами упоминались лишь в 10% сообщений. Такой вид товара интересен киберпреступникам, которые готовы самостоятельно доработать его для проведения атаки.
Выводы
Ближний Восток — регион, в котором активно применяются новейшие методики кибератак. Местные пользователи страдают от масштабных фишинговых кампаний, основанных на крупных событиях и популярных темах, а также становятся жертвами целевых атак, проводимых хактивистами.
В сфере кибербезопасности страны Персидского залива не отличаются от других, за исключением того, что многие организации Ближнего Востока пока менее защищены. Это подтверждается низкой стоимостью доступов и большим количеством низкоквалифицированных хакеров. Все это в перспективе приведет к увеличению числа атак, что несомненно изменит киберландшафт региона. Будут ли эти изменения полезны — открытый вопрос, ответ на который зависит от того, насколько активно местные компании начнут выстраивать защиту для достижения результативной кибербезопасности.
Хотите лучше познакомиться с киберпространством Ближнего Востока? Читайте полное исследование по ссылке . А в предыдущем посте мы собрали топ-10 самых громких кибератак в странах этого региона за последние полтора года.
Анастасия Чурсина
Аналитик Positive Technologies
