Тень-билдинг
Предложения доступа к корпоративным сетям наводнили черный рынок
Газета «Коммерсантъ» №103 от 18.06.2021, стр. 7
Количество объявлений на теневых форумах о продаже доступов к корпоративным сетям удвоило в первом квартале, а по итогам 2020 года увеличилось в семь раз. При этом доступы дешевеют, самыми дорогими они остаются по промышленным компаниям и финансовым организациям. В целом речь идет скорее об избытке предложения, интерес конечных покупателей к доступам к российским корпоративным сетям не вырос, отмечают эксперты. Зато рынок наводнили низкоквалифицированные игроки, создав особую категорию «добытчиков доступов».
Количество объявлений о продаже доступов к корпоративным сетям в первом квартале выросло более чем вдвое по сравнению с четвертым кварталом 2020 года (590 новых объявлений против 255), говорится в исследовании Positive Technologies. В 2020 году количество объявлений о продаже доступа увеличилось в семь раз по сравнению с 2019 годом, подсчитали в компании. Там проанализировали десять популярных теневых форумов, в том числе семь русскоязычных.
По данным исследования, ежеквартально продаются доступы в корпоративные сети организаций на сумму около $600 тыс., причем за последние четыре года доля доступов стоимостью от $5 тыс. сократилась вдвое. Самые дорогие — доступы в промышленные компании и финансовые организации, но за последний год их доля уменьшилась с 16% до 14% и с 11% до 6% соответственно. В тройку самых популярных доступов вошли сферы услуг, промышленности, науки и образования.
Динамика обусловлена тем, что рынок доступов наполняется низкоквалифицированными игроками, говорится в исследовании. У злоумышленников появилась новая специализация — «добытчики доступов», которыми могут быть и новички. Они получают исходный доступ в сеть компании для продажи на теневом рынке. Существовавшая ранее ситуация, когда хакер мог проникнуть внутрь и затем бросить процесс на полпути, сегодня почти невозможна, потому что можно продать результаты атаки на любом этапе, отмечает технический директор Varonis Александр Коновалов.
Пандемия подогрела интерес к продаже доступов к корпоративным сетям, так как они стали более уязвимы, объясняет аналитик «Ростелеком-Солар» Дарья Кошкина. Рост предложений коррелирует с возросшими объемами мошенничества, направленного на получение корпоративных аккаунтов, отмечает ведущий эксперт направления информбезопасности компании «Крок» Александр Черныхов.
Хотя в пандемию бизнес стал осознанно инвестировать в защиту дистанционного доступа, процент инвестирующих в информационную безопасность все же очень мал, отмечает директор департамента корпоративного бизнеса ESET Антон Пономарев. Дольше всего на изменения реагируют сферы образования и медицины из-за отсутствия квалифицированных IТ-кадров и сложной системы закупок, отмечает он. Причем подобные учреждения — это «кладезь данных, которые можно выгодно продать», они хранят персональную информацию обучающихся, научные работы, задания к экзаменам, говорит господин Пономарев.
Дополнительный фактор риска — большое число «непроверенных» людей, имеющих доступ к внутренней сети, что увеличивает «площадь атаки» для социального инжиниринга, или возможность завербовать одного из сотрудников или студентов, имеющих доступ к инфраструктуре, отмечает Александр Коновалов. Велик спрос на сотрудников определенных компаний: теневой рынок переполнен сообщениями о «найме сотрудников банков / ГИБДД / служб доставки», рассказали в компании «Доктор Веб».
В то же время доступы к российским корпоративным сетям на черном рынке никогда не пользовались особым спросом, отметил основатель сервиса разведки утечек данных DLBI Ашот Оганесян. Российские компании, поясняет он, почти не платят выкупы при заражении вирусами-шифровальщиками, зато правоохранительные органы быстро находят тех, кто решил заработать таким образом.