Широкий спектр услуг на подпольном рынке может даже неопытного хакера превратить в настоящую акулу киберпреступности.
Киберпреступные группировки, занимающиеся вымогательством с помощью программ-шифровальщиков, всё чаще применяют практики разделения профессионального труда, чтобы упростить себе работу, и увеличить доход. Это усложняет задачу специалистам по кибербезопасности, которым становится труднее различать группировки по используемым ими методам и тактикам. Об этом говорится в недавнем отчёте компании WithSecure.
Стивен Робинсон, старший аналитик по угрозам в WithSecure, сообщил, что такой подход злоумышленников означает, что их TTPs становятся крайне размытыми. Например, несмотря на недавний крах таких групп, как Conti и Hive, появились новые группы, использующие похожие на Conti методики работы. И как исследователям разбираться в этом многообразии однотипных данных? Вопрос риторический.
Подпольный рынок услуг теперь включает в себя целый спектр различных предложений:
Робинсон отметил, что поддерживаемые государством группировки часто используют инструменты, доступные на подпольном рынке, чтобы получить доступ к сетям и системам целевой организации без обнаружения.
В конечном итоге эта тенденция к профессионализации и разделению обязанностей между разными группами хакеров делает экспертизу более сложной, а сами атаки гораздо проще в реализации. Настолько проще, что ощутимый вред может нанести даже низкоквалифицированный злоумышленник.
Робинсон также привёл пример инцидента, исследованного специалистами WithSecure. Одна из организаций, название и профиль деятельности которой не уточняется, в небольшой промежуток времени была скомпрометирована пятью отдельными группировками. Причём все атаки были выполнены с разными целями и задействовали разные киберпреступные услуги.
Робинсон подчеркнул, что сейчас в порядке вещей между злоумышленниками обмениваться наводками на различные организации. Например, если одни хакеры проникли в какую-то организацию с одной целью, но в процессе заметили потенциал для атаки иного характера, они могут продать эту информацию и точку входа сторонней хакерской группировке, чтобы та тоже смогла поживиться.
В даркнете нередко можно встретить предложения о продаже доступа к компаниям с оборотом 100 млн долларов в год. «Хакерам не важно, что представляет из себя компания. Им важна только её ценность», — сказал Робинсон.
По данным анализа WithSecure из более 3000 утечек данных группами вымогателей организации в США стали самыми распространенными жертвами подобных атак. Следом идут Канада, Великобритания, Германия, Франция и Австралия.
Строительная отрасль, по-видимому, была наиболее затронутой и составляла 19% от всех утечек. В то время как автомобильные компании составляли только около 6%.
По итогу, можно с уверенностью сказать, что киберпреступные группировки сейчас не действуют в одиночку, а активно сотрудничают с другими акторами на подпольном рынке. Они также зачастую подражают и копируют методы друг друга, что затрудняет их идентификацию и противодействие экспертами отрасли.
Для защиты своих данных и ресурсов организации должны быть готовы к любой угрозе и не недооценивать свою ценность для хакеров. Высокий уровень информационной безопасности в наше время — это не роскошь, а вынужденная необходимость.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках