По-голямата част от пробивите на киберпрестъпниците са резултат от лоша кибер-хигиена в корпоративните ИТ мрежи (снимка: CC0 Public Domain)
Киберизмамниците изглежда консолидират методите си за използване на криптирани платформи за съобщения, брокерите за първоначален достъп и генеративните AI модели, според нови данни. Брокерството се очертава като обещаващ и бързо разрастващ се бизнес. Повечето успешни пробиви са резултат от лоша кибер-хигиена в организациите-жертви, сочат още данните.
Като цяло е налице тенденция на намаляване на бариерите за навлизане в света на киберпрестъпленията и „рационализиране на въоръжаването и изпълнението на рансъмуер атаки,“ сочи доклад на фирмата за сигурност Cybersixgill.
Проучването се основава на 10 милиона публикации в криптирани дискусионни платформи и други видове данни, извлечени от дълбоката, тъмната и ясната мрежа. Брад Лигет, директор по разузнаването в Cybersixgill, дефинира тези термини:
- ясната мрежа: всеки сайт, който е достъпен чрез обикновен браузър и не се нуждае от специално криптиране за достъп (напр. CNN.com, ESPN.com, WhiteHouse.gov);
- дълбоката мрежа: сайтове, които не са индексирани от търсачките, или сайтове, които са затворени и имат ограничен достъп;
- тъмната мрежа: сайтове, които са достъпни само с помощта на криптирани протоколи за тунелиране като Tor, ZeroNet и I2P.
„Това, което събираме в каналите в тези платформи, са съобщения“, каза Лигет. „Подобно на ситуацията, в която сте в групов чат с приятели или семейство, тези канали представляват групи за чат на живо“.
Концентрация, консолидация
Киберпрестъпниците използват криптирани платформи за обмен на съобщения, за да си сътрудничат, комуникират и да търгуват с инструменти, откраднати данни и услуги. Проучването обаче показва, че броят на заплахите намалява и се концентрира в ръцете на шепа платформи.
Между 2019 г. и 2020 г. е налице огромен скок в използването на платформи за криптирани съобщения. Общият брой на събраните елементи се е увеличил със 730%. В анализа на фирмата за 2020-2021 г. този брой е нараснал с 338%, а след това – само с 23% през 2022 г. до около 1,9 милиарда елемента.
В сайтовете-лукчета* в тъмната мрежа общият брой публикации и отговори във форума е намалял с 13% в периода между 2021 г. и 2022 г. Това означава спад от над 91,7 милиона до около 79,1 милиона.
10-те най-големи форума за киберпрестъпления са имали средно 165 390 месечни потребители през 2021 г., после този брой е спаднал с 4% до 158 813 през 2022 г. Публикациите в тези 10 сайта обаче са нараснали с близо 28%. Това означава, че участниците във форумите са станали по-активни.
Според анализа, тенденцията е ясна: в миналото повечето киберпрестъпници са извършвали „дейностите“ си сами в тъмната мрежа, докато през последните години се търси сътрудничество и е налице по-добра организация.
Брокерите за първоначален достъп – процъфтяващ бизнес
В потвърждение на споменатата тенденция се оказва, че екосистемата на брокерите за първоначален достъп (IAB) се е разраснала заедно с тъмните пазари като Genesis Market, който беше блокиран и затворен от ФБР неотдавна. Тези тържища улесняват взаимодействията между IAB и киберпрестъпниците, търсещи идентификационни данни, токени, компрометирани крайни точки, корпоративни входове, cPanels или други „входове“ до корпоративни мрежи.
Проучването говори за две големи пазарни категории „достъп за продан“:
- IAB продават на търгове достъп до корпоративни мрежи за стотици до хиляди долари;
- Борси за достъп „на едро“ продават достъп до компрометирани крайни точки за около $10.
Общо над 4,5 милиона входни точки за достъп са били продадени през 2021 г. След това, през следващата година, са продадени 10,3 милиона, разкрива проучването. Ръстът е очевиден. Лигет пояснява, че IAB разпознават кои идентификационни данни ще работят в определена среда и след това ги продават на едро.
„Те казват на рансъмуер операторите: „Вижте, имаме достъп до организациите X, Y и Z и смятаме, че са готови да платят между X и Y долара“. И те знаят това, защото извършват свое собствено разузнаване, така че познават бизнеса на жертвата – те знаят очакваното заплащане за рансъмуер атака“, обясни той. „И всичко, което правят, е да предоставят идентификационните данни и да си вземат своя дял“.
Това, което предоставят, може да са пароли, API ключове, токени, въобще всичко, което ще осигури достъп до организацията-жертва. „Понякога просто знаят, че има известна уязвимост в дадената ИТ среда, и продават това знание.“
Лоша дигитална хигиена
Изводите от проучването говорят още, че много от идентификационните данни, продавани в тъмната мрежа, представляват точки за достъп до ИТ мрежите на организации, които са налични благодарение на лошата цифрова хигиена. Това означава неспазване на базови правила за ИТ безопасност, например служителите използват едни и същи имена и пароли за вход и в корпоративни системи, и в лични акаунти – нещо, което позволява влизане и странично движение в организациите.
„Служителите често използват едни и същи пароли за своя корпоративен достъп, така че, за съжаление, личният и корпоративният свят са преплетени. След това нападателите отиват в социалните медии – например в Linkedin – и се сдобиват с имена, прилагат автоматизация, за да съпоставят имената с идентификационните номера и накрая изпробват открадната парола“.
_________
* “Лукчета” са сайтове в тъмната мрежа, които най-често използват домейна ‘. onion’. Разчитат на скритите услуги на Tor за прикриване на локацията си и идентификационните данни на собственика. Достъпват се само чрез браузера Tor.