11/09/20
В настоящее время ищущие жертв операторы вымогательского ПО все чаще обращаются посредникам – брокерам, продающим в даркнете доступ ко взломанным сетям различных организаций. Как сообщается в отчете ИБ-компании Digital Shadows, за последние два года спрос на подобные услуги существенно увеличился в связи с ростом популярности бизнес-модели «вымогательское ПО как услуга» (ransomware-as-a-service, RaaS).
Большой всплеск обращений RaaS к брокерам, продающим доступ ко взломанным сетям, наблюдается последние шесть месяцев.
Задачей брокеров является обеспечить все необходимые для осуществления кибератаки условия и оптимизировать процесс таким образом, чтобы оператор мог успешно внедрить свою вымогательскую программу в атакуемую сеть.
«Перед партнерами разработчиков вымогательского ПО стоит нелегкая задача по непрерывном поиску жертв для них, чтобы обеспечивать поток прибыли. Если партнер не удовлетворяет требованиям разработчика, его исключают из партнерской программы, и он теряет деньги», – пояснил руководитель исследовательской группы Digital Shadows Плек Алварадо (Alec Alvarado).
Процесс начинается с выявления уязвимых целей. Как правило, брокеры просто без разбора сканируют Сеть с помощью Shodan или Masscan в поисках открытых портов. Также они могут использовать сканеры уязвимостей для обнаружения потенциальных точек входа.
Во многих случаях брокеры выявляют жертв с открытыми портами Remote Desktop Protocol (RDP). Кроме того, они предлагают доступ к сетям атакуемых организаций через шлюзы Citrix и контроллеры доменов. Доступ через шлюзы обеспечивается с помощью брутфорс-атаки и последующей эксплуатации известных уязвимостей в продуктах Citrix.
Укрепившись во взломанной сети, брокеры внимательно изучают ее. Они могут повышать свои привилегии или с помощью боковых перемещений по сети определять, к каким данным у них есть доступ. Затем полученные сведения структурируются, упаковываются в презентабельный продукт, оцениваются и выставляются на продажу.
Стоимость каждого такого продукта варьируется от $500 до $10 тыс. Чем выше доход атакуемой организации, тем дороже стоит доступ к ее сетям. В то же время, чем выше доход, тем больше сумма требуемого выкупа.
Покупатели доступа к сетям могут гораздо больше, чем просто развертывать в них вымогательское ПО. Они могут заниматься промышленным шпионажем, похищать важные разработки, интеллектуальную собственность и другие конфиденциальные данные, повышать свои привилегии в сети, перемещаться и оставаться в ней продолжительное время, используя легитимные подручные инструменты.
