Для киберпреступников это темная сеть против глубокой сети
15 апреля 2023 г.Согласно новому отчету охранной фирмы Cybersixgill «Состояние подполья киберпреступности в 2023 году», злоумышленники консолидируют использование платформ для обмена зашифрованными сообщениями, брокеров начального доступа и генеративных моделей ИИ. вооружение и выполнение атак программ-вымогателей».
Исследование основано на 10 миллионах сообщений на зашифрованных платформах и других данных, извлеченных из глубокой, темной и чистой сети. Брэд Лиггетт, директор отдела информации об угрозах в Северной Америке в Cybersixgill, дал следующее определение этим терминам:
- Чистая сеть: любой сайт, доступный через обычный браузер и не требующий специального шифрования для доступа (например, CNN.com, ESPN.com, WhiteHouse.gov).
Глубокая сеть: сайты, которые не индексируются поисковыми системами, или сайты с закрытым доступом и ограниченным доступом.
Даркнет: сайты, которые доступны только с использованием протоколов зашифрованного туннелирования, таких как Tor (браузер лукового маршрутизатора), ZeroNet и I2P.
«То, что мы собираем в каналах на этих платформах, — это сообщения», — сказал он. «Подобно тому, как если вы общаетесь в группе с друзьями/семьей, эти каналы представляют собой группы живого чата».
Tor популярен среди злоумышленников по той же причине: он дает людям, оказавшимся в ловушке репрессивных режимов, способ передавать информацию внешнему миру, сказал Даниэль Танос, вице-президент и глава Arctic Wolf Labs.
«Поскольку это федеративная, одноранговая система маршрутизации, полностью зашифрованная, у вас могут быть скрытые веб-сайты, и, если вы не знаете адрес, вы не получите доступа», — сказал он. «И то, как он маршрутизируется, практически невозможно отследить кого-то».
Перейти к:
- После значительного увеличения количества сообщений киберпреступников, небольшое снижение в прошлом году
Из даркнета в глубокую сеть: меньше лука, больше приложений
Простота использования в пользу платформ глубокого Интернета
Брокеры с начальным доступом переживают бум
Плохая цифровая гигиена дает злоумышленникам доступ к более крупным выплатам
После значительного увеличения количества сообщений киберпреступников, небольшое снижение в прошлом году
Киберпреступники используют зашифрованные платформы обмена сообщениями для совместной работы, общения и обмена инструментами, украденными данными и услугами отчасти потому, что они предлагают автоматизированные функции, которые делают их идеальной стартовой площадкой для кибератак. Однако исследование Cybersixgill предполагает, что количество злоумышленников сокращается и концентрируется на нескольких платформах.
В период с 2019 по 2020 год данные, собранные Cybersixgill, отражают массовый всплеск использования платформ для обмена зашифрованными сообщениями, при этом общее количество собранных элементов увеличилось на 730%. Согласно анализу компании за 2020–2021 годы, это число увеличилось на 338%, а затем всего на 23% в 2022 году и составило около 1,9 миллиарда элементов, собранных с платформ обмена сообщениями (рис. A).
Рисунок А
«При рассмотрении рабочего процесса быстрее и проще просматривать каналы на платформах обмена сообщениями, а не заходить на различные форумы, читать сообщения и т. д.», — сказал Лиггетт.
Из даркнета в глубокую сеть: меньше лука, больше приложений
На луковых сайтах темной сети общее количество сообщений и ответов на форумах сократилось на 13% в период с 2021 по 2022 год, упав с более чем 91,7 миллиона до примерно 79,1 миллиона. Согласно отчету, количество субъектов угроз, активно участвующих в ведущих форумах, также немного сократилось.
10 крупнейших форумов по киберпреступности в среднем посещали 165 390 пользователей в месяц в 2021 году, что снизилось на 4% до 158 813 в 2022 году. Однако количество сообщений на этих 10 сайтах выросло почти на 28%, а это означает, что участники форумов стали более активными.
В исследовании говорится, что в прошлом большинство злоумышленников проводили свои операции только в темной сети, а в последние годы произошла миграция на платформы обмена сообщениями с шифрованием в глубокой сети.
Простота использования в пользу платформ глубокого Интернета
Киберпреступники предпочитают платформы глубокого Интернета из-за их относительной простоты использования по сравнению с Tor, который требует больше технических навыков. «На легкодоступных платформах, в чатах и каналах злоумышленники сотрудничают и общаются, торгуя инструментами, украденными данными и услугами в незаконной сети, которая работает параллельно с темным веб-эквивалентом», — говорится в исследовании.
«Люди, как правило, общаются на этих платформах в режиме реального времени», — сказал Лиггетт. «Форумы и торговые площадки в даркнете печально известны тем, что не всегда имеют высокий уровень безотказной работы. Иногда через какое-то время они отключаются или, как мы недавно видели, были захвачены правоохранительными органами и государственными органами», — сказал он, отметив, что одна из таких платформ, RaidForums, была закрыта в 2022 году, а BreachedForums только что пару недель назад (рис. B).
Рисунок Б
Киберпреступники собираются на этих каналах глубокой сети
Лиггетт сказал, что Telegram — самая популярная платформа для обмена сообщениями среди злоумышленников. Другие, по его словам, включают:
- Discord — это платформа для обмена сообщениями, которую предпочитают геймеры.
ICQ была впервые представлена в 1990-х годах и куплена российской компанией в 2010 году.
QQ — популярная коммуникационная платформа в Китае.
Wickr — это нью-йоркское подразделение Amazon Web Services.
Signal — это бесплатный зашифрованный сервис с открытым исходным кодом.
Tox также является FOSS, одноранговой системой.
Брокеры с начальным доступом переживают бум
Экосистема брокеров начального доступа выросла вместе с темными рынками, такими как Genesis Market, который был захвачен и закрыт ФБР в ходе многонациональной спецоперации. Эти концентраторы облегчают транзакции между IAB и злоумышленниками, которые ищут учетные данные, токены, скомпрометированные конечные точки, корпоративные логины, веб-оболочки, cPanel или другие украденные точки доступа к корпоративным сетям.
Исследование указало на две широкие рыночные категории доступа для продажи в киберпреступном подполье:
- IAB выставляют на аукцион доступ к корпоративным сетям за сотни и тысячи долларов.
Оптовые рынки доступа продают доступ к скомпрометированным конечным точкам примерно за 10 долларов.
Исследование показало, что в 2021 году было продано более 4,5 млн векторов доступа, а в 2022 году — 10,3 млн на одном рынке.
Танос сказал, что IAB определяют, какие учетные данные будут работать в определенной среде, а затем продают их блоками.
«Они говорят операторам программ-вымогателей: «Послушайте, у нас есть доступ к организациям X, Y и Z, и мы думаем, что они заплатят от X до Y долларов». — они знают ожидаемую выплату за атаку программ-вымогателей», — пояснил он. «И все, что они делают, это предоставляют учетные данные и берут долю».
То, что они предоставляют, может быть паролями, ключами API, токенами, сказал Танос, «или всем, что предоставит вам доступ. Иногда они просто знают, что в окружающей среде есть определенная уязвимость, и продают это».
Плохая цифровая гигиена дает злоумышленникам доступ к более крупным выплатам
Танос указал, что многие учетные данные, продаваемые в даркнете, хотя и с индивидуальных учетных записей потребителей, могут представлять собой точки доступа к организациям из-за плохой цифровой гигиены: люди используют ту же информацию для входа на предприятия, что и для личных учетных записей, разрешая вход и боковое движение через организации.
«Они часто используют одни и те же пароли для своего корпоративного доступа, поэтому, к сожалению, личный и корпоративный миры переплетены. Затем плохие парни выходят в социальные сети — например, в Linkedin — чтобы получить имена, а затем применяют автоматизацию для сопоставления имен с идентификаторами, а затем пробуют украденный пароль».
Часто это делается путем заполнения учетных данных, когда комбинированные списки, которые представляют собой объединенные текстовые файлы с утечками имен пользователей и паролей, полученные в результате предыдущих взломов, используются для захвата учетных записей в других веб-приложениях или мобильных приложениях с помощью атак грубой силы.
Оригинал