04/10/23
Эксперты Positive Technologies провели исследование теневого рынка киберуслуг, иллюстрирующее интерес киберпреступников к странам Персидского залива. Анализ показал, что наибольшей популярностью у злоумышленников пользуются компании ОАЭ и Саудовской Аравии. В целом по региону в объявлениях дарквеба наиболее распространены темы продажи доступа к инфраструктурам компаний и продажи данных. Минимальная стоимость доступа составляет всего 35 долларов США, больше половины продается по цене от 100 до 1000 долларов, при этом абсолютное большинство предлагаемых доступов включают в себя права администратора, что существенно облегчает атаки на компании даже неопытным злоумышленникам с ограниченным бюджетом.
По данным исследования, чаще всего в объявлениях упоминаются компании ОАЭ (46%) и Саудовской Аравии (23%). По мнению экспертов, эти страны ассоциируются с нефтедобывающей промышленностью и финансовым достатком, что привлекает киберпреступников.
Среди секторов экономики наиболее часто в дарквебе обсуждаются государственный (30% сообщений) и финансовый (20%): именно на них сосредоточены основные усилия хактивистов и групп вымогателей.
Анализ показал, что более 33% всех объявлений связаны с продажей или распространением данных, в том числе баз данных организаций и учетных данных (ФИО, адресов электронной почты и т. п.). Эта информация может быть использована для разнообразных атак, включая фишинг и вымогательство. Эксперты обращают внимание на то, что треть (31%) всех обсуждаемых в дарквебе данных распространяется бесплатно, что дает возможность самому широкому кругу злоумышленников использовать их в атаках.
Продажа доступа к инфраструктурам компаний оказалась на втором месте по популярности в дарквебе (22%). Согласно исследованию, такая услуга обойдется злоумышленнику от 35 до 40 тыс. долларов США.
«Важно отметить, что в большинстве случаев киберпреступники продают доступ к компаниям очень дешево (за 100–1000 долларов США), при этом подавляющее большинство доступов (90%) предоставляются с правами администратора. Иными словами, злоумышленнику, даже самому неопытному и с небольшим бюджетом, не нужно никак дорабатывать купленный „товар“, он уже может успешно атаковать с его помощью подходящую компанию-жертву, — объясняет аналитик Positive Technologies Анастасия Чурсина. — При этом в дарквебе продаются и дорогостоящие доступы к крупным компаниям региона. Эти доступы могут использоваться хакерами с более высоким уровнем подготовки для проведения сложных атак».
Активная теневая торговля данными и доступами к инфраструктурам компаний в странах Персидского залива, низкая стоимость киберуслуг и невысокие требования к квалификации злоумышленников делают информационные системы организаций региона крайне уязвимыми. Эксперты рекомендуют компаниям выстраивать защиту с учетом всех возможных угроз и сценариев развития кибератак, применяя современные средства, такие как межсетевые экраны уровня приложений (PT Application Firewall), системы анализа сетевого трафика (PT Network Attack Discovery), а также решения мониторинга событий ИБ и выявления инцидентов (MaxPatrol SIEM).
В рамках исследования было проанализировано 252 Telegram-канала и форума в дарквебе (общее число пользователей — 8 884 023, общее число сообщений — 91 484 658). В выборку попали крупнейшие многоязычные площадки разной тематической направленности.
