Анализ рынка первоначальных доступов

Эксперты «Лаборатории Касперского» изучили теневой рынок доступа к инфраструктуре компаний.

Эксперты «Лаборатории Касперского» изучили объявления в даркнете и выяснили, сколько может стоить доступ к инфраструктуре вашей компании.

Когда в новостях пишут о том, что очередную компанию зашифровали и теперь шантажируют, у многих в голове рисуется картина с хитрыми хакерами, которые сначала создали опасный зловред, потом долго и упорно искали способ «взломать» компанию — и вот, наконец, зашифровали. Из-за этого некоторые владельцы бизнесов до сих пор уверены, что «моя компания не настолько интересна, чтобы злоумышленники тратили ресурсы на ее взлом». На самом деле все происходит совершенно иначе. Реальный атакующий не пишет вредоносное ПО сам, а берет его в аренду, да и на взлом он тоже ресурсов не тратит — просто обращается на теневой рынок первоначального доступа. В рамках сервиса Digital Footprint Intelligence наши эксперты выяснили, за сколько можно купить и продать доступ к инфраструктуре компании.

Почем доступ?

Так за сколько же злоумышленники могут купить доступ к вашей инфраструктуре? Разумеется, это зависит от многих факторов, но в первую очередь они ориентируются на выручку компании. Проанализировав около двух сотен объявлений, эксперты пришли к следующим выводам:

  • большая часть объявлений предлагает доступ к небольшим компаниям;
  • случаи, когда доступ продают дороже чем за 5000 долларов, достаточно редки;
  • стоимость доступа к крупным компаниям в среднем от 2000 до 4000 долларов;
  • почти в половине объявлений доступ предлагается по цене менее 1000 долларов.

Согласитесь, не самые впечатляющие суммы. Те же операторы шифровальщиков-вымогателей рассчитывают получить гораздо более серьезную выгоду, поэтому вполне могут вложиться в организацию атаки.

Чем торгуют?

Злоумышленники предлагают различные типы доступа. Иногда это информация об уязвимости, которую можно проэксплуатировать для доступа. Иногда — учетные данные для доступа к Citrix или к панели хостинга сайта. Но в подавляющем большинстве случаев (более чем в 75% объявлений) речь идет о том или ином доступе через RDP (иногда в связке с VPN). Это говорит о том, что к такому варианту удаленного доступа к инфраструктуре компании следует относиться с повышенным вниманием.

Откуда берут товар?

Вариантов получения первоначального доступа, разумеется, множество. Встречаются даже простейшие варианты с подбором паролей. Но чаще всего это фишинговые письма, отправляемые на адреса сотрудников, письма с вредоносными вложениями (программы-шпионы или, например, стилеры, автоматически собирающие с зараженных устройств учетные данные, токены авторизации, файлы cookie и так далее). Иногда злоумышленники также эксплуатируют известные уязвимости в ПО до того, как их успевают запатчить.

Подробные результаты исследования с примерами реальных объявлений по продаже первоначальных доступов можно найти в отчете на сайте Securelist.

Как оставаться в безопасности?

Поскольку чаще всего предметом продажи является удаленный доступ к инфраструктуре компании через RDP, то в первую очередь следует защитить именно ее. Наши эксперты дают следующие рекомендации:

  • организовывать RDP-доступ только через VPN;
  • использовать надежные пароли;
  • использовать Network Level Authentication (если это возможно);
  • использовать двухфакторную аутентификацию для всех критических сервисов.

Для того чтобы пароли реже утекали из-за фишинга, также рекомендуется использовать надежные защитные решения с антифишинговым движком как на устройствах сотрудников, так и на уровне почтового шлюза. А для верности периодически повышать осведомленность персонала о современных киберугрозах.

Кроме того, достаточно полезно знать, не обсуждают ли уже в даркнете продажу данных для доступа к вашей компании. Мониторинг такой активности вполне реален — этим и занимается сервис Digital Footprint Intelligence.

Советы