Операторы вымогательского ПО покупают доступ ко взломанным сетям у посредников
11 сентября 2020 года
В настоящее время ищущие жертв операторы вымогательского ПО все чаще обращаются посредникам – брокерам, продающим в даркнете доступ ко взломанным сетям различных организаций. Как сообщается в отчете ИБ-компании Digital Shadows, за последние два года спрос на подобные услуги существенно увеличился в связи с ростом популярности бизнес-модели «вымогательское ПО как услуга» (ransomware-as-a-service, RaaS). Большой всплеск обращений RaaS к брокерам, продающим доступ ко взломанным сетям, наблюдается последние шесть месяцев.
Задачей брокеров является обеспечить все необходимые для осуществления кибератаки условия и оптимизировать процесс таким образом, чтобы оператор мог успешно внедрить свою вымогательскую программу в атакуемую сеть.
«Перед партнерами разработчиков вымогательского ПО стоит нелегкая задача по непрерывном поиску жертв для них, чтобы обеспечивать поток прибыли. Если партнер не удовлетворяет требованиям разработчика, его исключают из партнерской программы, и он теряет деньги», – пояснил руководитель исследовательской группы Digital Shadows Плек Алварадо (Alec Alvarado).
Процесс начинается с выявления уязвимых целей. Как правило, брокеры просто без разбора сканируют Сеть с помощью Shodan или Masscan в поисках открытых портов. Также они могут использовать сканеры уязвимостей для обнаружения потенциальных точек входа.
Во многих случаях брокеры выявляют жертв с открытыми портами Remote Desktop Protocol (RDP). Кроме того, они предлагают доступ к сетям атакуемых организаций через шлюзы Citrix и контроллеры доменов. Доступ через шлюзы обеспечивается с помощью брутфорс-атаки и последующей эксплуатации известных уязвимостей в продуктах Citrix.
Укрепившись во взломанной сети, брокеры внимательно изучают ее. Они могут повышать свои привилегии или с помощью боковых перемещений по сети определять, к каким данным у них есть доступ. Затем полученные сведения структурируются, упаковываются в презентабельный продукт, оцениваются и выставляются на продажу.
Стоимость каждого такого продукта варьируется от $500 до $10 тыс. Чем выше доход атакуемой организации, тем дороже стоит доступ к ее сетям. В то же время, чем выше доход, тем больше сумма требуемого выкупа.
Покупатели доступа к сетям могут гораздо больше, чем просто развертывать в них вымогательское ПО. Они могут заниматься промышленным шпионажем, похищать важные разработки, интеллектуальную собственность и другие конфиденциальные данные, повышать свои привилегии в сети, перемещаться и оставаться в ней продолжительное время, используя легитимные подручные инструменты.
Источники править
Эта статья содержит материалы из статьи «Операторы вымогательского ПО покупают доступ ко взломанным сетям у посредников», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.