К чему готовиться добропорядочным компаниям, когда хакеры начинают передел рынка
Теневой рынок торговли персональными данными и доступом к IT-инфраструктуре — явление, которое невозможно игнорировать, хотя бы в силу влияния на экономику, теряющую от хакерских атак 3,5 трлн руб. в год. В конце февраля — начале марта 2021 года вместо уже привычных сообщений об успешных кибератаках на компании или банки появилась информация о взломанных хакерских форумах. Казалось бы, хорошая новость для операторов данных, в среднем тратящих на кибербезопасность по $1,5 млн ежегодно. Но происходящее в хакерском сообществе больше всего напоминает передел рынка со всеми вытекающими последствиями: кибератаки в ближайшее время станут опаснее, а защита от них — дороже.
Потери российской экономики от действий киберпреступников в 2020 году, по оценке Сбербанка, могли составить 3,5–3,6 трлн руб. Эта сумма равна 73% тех средств, которые, по заявлению властей, в течение двух лет потребуются на восстановление всей экономики страны после пандемии. Только объем рынка продаж краденых данных банковских карт в 2020 году, по оценке Group-IB, приблизился к 145 млрд руб., что сопоставимо с тратами россиян на льготную ипотеку за этот год. При этом большая часть кибератак, по данным Microsoft, исходит из России. В сентябре 2020 года корпорация отчиталась, что за последние два года зафиксировала более 13 тыс. уведомлений о хакерских атаках и самый высокий процент сообщений был вызван действиями России.
Но в начале 2021 года «русские хакеры» внезапно сами подверглись атакам. Так, 20 января о взломе сообщил администратор хакерского форума Verified, 16 февраля — кардинг-форум CrdClub (мошенники использовали его для сделок с поставщиками фальшивых кредитных карт), 2 марта об атаках заявил Exploit, а 3 марта — старейший русскоязычный форум Maza. Хакерские форумы — это фактически биржи по продаже киберкриминальных товаров и услуг. Успешные атаки на такие «биржи» могут означать и то, что активизировались спецслужбы, и то, что сами киберпреступники начали войну без правил за передел теневого рынка. В любом случае для добропорядочных операторов данных новость о взломанных хакерах кажется хорошей. Но не все так просто. Для начала возникает вопрос, зачем вообще специалисты по краже данных из интернета выкладывают в него свои собственные.Вход по поручительству
Хакерские форумы нужны не только хакерам. На таких форумах покупают или продают сервисы или обсуждают практические аспекты их применения. Поэтому среди активных посетителей форумов могут быть программисты, которые пишут код троянов, но сами не проводят атаки, а продают свои услуги злоумышленникам. Другая часть аудитории теневых площадок — «частники», которые не умеют «кодить», но хотят заработать на продаже собранных данных или на атаках. На форумах также могут быть зарегистрированы, например, те, кто забирает деньги из банкоматов после атаки.
Кроме того, по словам экспертов, на форумах можно встретить посредников, которые отрабатывают чей-то заказ либо зарабатывают на перепродаже данных и вредоносного ПО, тех, кто собрал свой ботнет (компьютерная сеть из устройств, зараженных вредоносной программой) и предлагает его как сервис.
От посторонних администраторы форумов защищаются сложным механизмом регистрации и ее высокой ценой. Для регистрации нужно подтвердить свой аккаунт и предоставить «портфолио» или поручительство от действующего пользователя. Площадка Maza имеет особенно сложный механизм регистрации, и ее цена — $1 тыс. (о числе пользователей дает представление тот факт, что в результате мартовской атаки в свободном доступе оказались данные более 2 тыс. хакеров). К слову, администраторы подобных площадок — фактически хакеры, зарабатывающие на хакерах,— получают деньги и от регистрации, и от участия в обсуждаемых мошеннических схемах. По некоторым оценкам, ежемесячно через форум Maza проходит не менее $0,5 млн, а совокупный оборот Maza, Verified и Exploit за месяц превышает более $1 млн.
На хакерских форумах часто появляются сообщения о взломе других форумов, но отличительной особенностью последних атак стало то, что их целью были именно крупнейшие и широко известные в андерграунде ресурсы. Кто-то целенаправленно губит форумы.
Карающий меч в погонах
Характер взломов форумов говорит о том, что атакующий обладал подробной информацией о работе площадок, уверены опрошенные “Ъ” эксперты. Система мониторинга форума Exploit, в частности, обнаружила несанкционированный доступ и попытку перехвата и анализа сетевого трафика. Такую атаку могли осуществить «только спецслужбы или люди, которые знают, где расположены серверы», сказал один из основателей Exploit (по данным компании KrebsOnSecurity).
Но самое главное, после атак на форумы никаких заявлений правоохранителей об их закрытии не последовало. Более того, копия Verified появилась на другом адресе, а портал Exploit на данный момент восстановил работу. На Verified появилось объявление, что всем пользователям сбросили пароли. По ее словам, CrdClub сейчас работает, а у Expoit приостанавливалась только работа «зеркала» в легальном сегменте интернета. Для спецслужб это нетипично. Так, в 2019 году, когда белорусские силовики вышли на хакерский форум XakFor для русскоговорящих кибервзломщиков, площадка прекратила работу, о ее закрытии отчитались МВД и Следственный комитет республики.
Эксперты указывают и еще на один немаловажный момент: по мнению экспертов, атаки на подобные ресурсы правоохранительным органам невыгодны, поскольку они сами постоянно черпают оттуда данные для работы.
В результате на первый план выходит версия о том, что сами крупные игроки теневого рынка торговли данными начали его передел.
Киберпередел
Рост атак на хакеров, скорее всего, связан с попытками передела черного рынка IT-услуг и торговли данными. За атаками стоят владельцы других форумов, пытающиеся разрушить репутацию конкурентов, или обиженные члены сообщества.
Локальные разборки конкурирующих группировок могут оказать разрушительное воздействие на хакерское сообщество, главным страхом для которого является деанонимизация. Она возможна, если владельцы взломанных ресурсов вели журнал IP-адресов. В таком случае правоохранительным органам будет гораздо проще вычислить реальное местоположение преступников. Разоблачение участников форумов, безусловно, осложнит работу теневых площадок, считают эксперты. Их пользователи «перетекут» на другие ресурсы, что вполне соответствует задачам атакующих, ведь речь идет о борьбе с конкурентами. Но администраторы всех сохранившихся площадок при этом усложнят процедуру приема новых членов, повысят защиту цифровой инфраструктуры и откажутся от хранения данных пользователей.
Члены хакерских группировок станут вести себя осторожнее. Те же, кто «остается в игре», повышают цены на свои услуги с учетом рисков раскрытия личности после взлома очередного форума.
Сейчас, по данным Privacy Affairs, цены на различные товары и услуги на теневом рынке варьируются от $15 за данные банковской карты до $1 тыс. за продажу уязвимости в системе Android. Взломы различных площадок в интернете, по данным Positive Technologies, могут стоить от $40 за взлом почты до $4,5 тыс. за целевую атаку на компанию.
Добропорядочным компаниям и банкам, в свою очередь, придется еще пристальнее следить за безопасностью и увеличивать бюджеты на это направление. В 2020 году, по данным Cisco, средние расходы на защиту данных в российских организациях составили $1,4 млн. Но уже в 2021 году 52% российских компаний, по прогнозу PwC, планируют увеличить расходы на кибербезопасность, а 42% организаций хотят расширить штат сотрудников, занятых в этой сфере.
По материалам www.kommersant.ru