Специалисты создали новую систему классификации хакеров: от варваров до волшебников

В течение последних трёх лет киберпреступники, пытаясь украсть данные или развернуть вредоносное ПО, случайно натыкались на виртуальную машину-приманку (honeypot, ханипот), размещенную в США. Несмотря на наличие легко взламываемого пароля, машина была не просто компьютером, а мониторинговой системой, позволяющей следить за действиями хакеров в реальном времени.

Каждый раз, когда киберпреступник проникал в систему, исследователи GoSecure могли наблюдать и анализировать действия хакера. Более 100 часов записей с экрана, которые были сделаны в течение взломов, дали исследователям уникальный взгляд на методы и инструменты, используемые хакерами. Самое интересное в исследовании – некоторые преступники случайно раскрыли свои инструменты, методы и даже личную информацию.

Исследование , представленное на конференции Black Hat в Лас-Вегасе, показало, как злоумышленники используют протокол удаленного рабочего стола (Remote Desktop Protocol, RDP). За 3 года было зафиксировано 21 млн. попыток входа, из которых 2600 были успешными. Исследователи классифицировали злоумышленников на пять категорий, основываясь на персонажах из настольной игры Dungeons and Dragons (Подземелья и Драконы):

Специалисты GoSecure классифицировали злоумышленников на 5 основных категорий.

1. Рейнджеры: исследовали систему, не предпринимая активных действий;
2. Варвары: активно использовали инструменты для попыток взлома других систем, такие как Masscan и NLBrute;
3. Волшебники: использовали RDP как портал для атак на другие уязвимые системы;
4. Воры: пытались монетизировать свой доступ, устанавливая криптомайнеры;
5. Барды: наименее определенная группа, действовавшая случайно или без определенной цели. Эксперты отмечают, что некоторые барды, возможно, купили доступ к RDP и использовали его с разными целями. Например, один из таких злоумышленников через RDP искал в Google «самый мощный вирус», а другой пытался войти в Google Ads. Также были и те, кто безуспешно пытался найти порнографию в интернете.

Особое внимание исследователи уделили тому, как часто системы RDP становятся объектом атак. Один из экспертов в области безопасности отметил, что попытки взлома происходили каждые 7 секунд. В заключение, эксперты GoSecure призывают компании устанавливать подобные ловушки, чтобы лучше понимать угрозы и укреплять свои системы кибербезопасности.