Эксперты Positive Technologies провели исследование торговых площадок на теневом рынке киберуслуг и обнаружили всплеск интереса к доступам[1] в корпоративную сеть: в первом квартале 2020 года число предложений о продаже доступов на 69% превышает показатели предыдущего квартала. Выявленный тренд существенно влияет на безопасность корпоративной инфраструктуры в период массового перевода сотрудников на удаленную работу.
В четвертом квартале 2019 года на продажу на хакерских форумах было выставлено более 50 доступов к сетям крупных компаний со всего мира (столько же мы насчитали за весь 2018 год), а уже в первом квартале 2020 года в продаже было более 80 доступов. Чаще всего продаются доступы в промышленные организации, компании из сферы услуг, финансов, науки и образования, информационных технологий (все это 58% предложений в совокупности).
Если год-два назад злоумышленников в основном интересовали доступы к единичным серверам, которые стоили в пределах 20 $, то со второй половины 2019 года наблюдается рост интереса к покупке доступов к локальным сетям компаний. Выросли и суммы сделок. Например, сейчас за доступ к инфраструктуре компании с годовым доходом от 500 млн $ предлагают долю до 30% от потенциальной прибыли после завершения атаки. Средняя стоимость привилегированного доступа к локальной сети сейчас составляет порядка 5000 $.
В число жертв сегодня входят организации с годовым доходом от сотен миллионов до нескольких миллиардов долларов. Чаще всего продаются доступы в компании из США (более трети всех предложений), также в пятерку входят Италия и Великобритания (по 5,2% предложений), Бразилия (4,4%), Германия (3,1%). При этом в случае США чаще всего продают доступы в организации сферы услуг (20%), промышленные компании (18%) и государственные учреждения (14%). Применительно к Италии в лидерах спроса промышленность (25%) и сфера услуг (17%), а в Великобритании ― сфера науки и образования (25%) и финансовая отрасль (17%). По 29% всех продаваемых доступов в немецкие компании приходится на сферу ИТ и сферу услуг.
Обычно покупатели такого товара — другие злоумышленники. Они приобретают доступы, чтобы развить атаку самостоятельно либо нанять опытную команду хакеров для повышения привилегий в сети и размещения вредоносных файлов на критически важных узлах инфраструктуры компании-жертвы. Одними из первых такую схему взяли на вооружение операторы шифровальщиков.
«Мы ожидаем, что в ближайшее время крупные организации могут попасть под прицел низкоквалифицированных нарушителей, которые нашли способ легкого заработка, ― говорит Вадим Соловьев, старший аналитик Positive Technologies. ― В период всемирного карантина, когда компании массово переводят сотрудников на удаленную работу, хакеры будут искать любую незакрытую брешь в системах на периметре сети. Чем крупнее компания, в сеть которой удастся получить доступ, и чем выше полученные привилегии, тем больше сможет заработать преступник».
Для того чтобы избежать проблем, эксперты Positive Technologies рекомендуют компаниям уделять внимание комплексной защите инфраструктуры — как на сетевом периметре, так и в локальной сети. В первую очередь следует убедиться, что все сервисы на периметре сети защищены, а в локальной сети обеспечен достаточный уровень мониторинга событий безопасности для выявления нарушителя. Регулярный ретроспективный анализ событий безопасности позволит обнаружить пропущенные ранее кибератаки и устранить угрозу до того, как злоумышленники украдут информацию или остановят бизнес-процессы.