2024/03/25 08:38:32

Даркнет (теневой интернет, DarkNet)

.

Содержание

Хостинг-провайдеры даркнета

2024: Как развивается даркнет. Тренды от «Лаборатории Касперского»

18 января 2024 года антивирусная компания «Лаборатория Касперского» опубликовала исследование, в котором рассказала об основных трендах в сфере даркнета.

Рост числа сообщений в блогах о вирусах-вымогателях

В 2023 году специалисты Kaspersky Digital Footprint Intelligence обнаруживали ежемесячно около 476 сообщений об успешных взломах публичных компаний при помощи вирусов-вымогателей, тогда как в 2022-м число таких постов было на уровне 386.

Лаборатория Касперского рассказала об основных трендах даркнета

Повышение рисков утечки данных пользователей и компаний

По данным «Лаборатория Касперского», в 2023 году в даркнете увеличилось количество сообщений, относящихся к стилерам — программам для кражи конфиденциальной информации, такой как учётные данные для входа в систему, финансовые реквизиты и личные данные. Например, ежемесячное количество объявлений о продаже лог-файлов Redline, популярного семейства стилеров, выросло в среднем с 370 в 2022 году до 1200 в 2023 году. А число публикаций на подпольных форумах со свободным распространением лог-файлов вредоносных программ, содержащих скомпрометированные данные пользователей, вырос почти на 30% в 2023-м.TAdviser Security 100: Крупнейшие ИБ-компании в России 56.4 т

Растущий спрос на криптодрейнеры

В «Лаборатории Касперского» ожидают рост спроса на криптодрейнеры — вид вредоносного ПО для быстрого и автоматического вывода средств с легальных криптокошельков на кошельки злоумышленников.

Продвижение сайтов со встроенным вредоносным ПО с помощью механизмов рекламы в поисковых системах

По мнению специалистов «Лаборатории Касперского, злоумышленники будут распространять вредоносное ПО не только через фишинговые письма, но и через рекламу в популярных поисковых системах, чтобы обеспечить своим страницам верхние позиции в результатах поиска. Продавцы таких услуг, скорее всего, активизируются в даркнете.[1]

2023

Росфинмониторинг пресек работу 10 площадок в даркнете объемом 28 млрд рублей

Росфинмониторинг за 2023 год пресек работу 10 площадок в даркнете объемом 28 млрд рублей. Об этом сообщается в отчете ведомства, опубликованном в середине мая 2024 года.

Из него следует, что в 2023 году Росфинмониторинг выявил 25 организаторов теневых платформ и более 700 заказчиков теневых услуг. Большая часть площадок концентрировалась на незаконном обналичивании денег. При этом «основными потребителями услуг теневых площадок» остаются предприниматели в сфере строительства и оптовой торговли, включая онлайн-торговлю, говорится в материалах службы.

Росфинмониторинг за 2023 год пресек работу 10 площадок в даркнете объемом 28 млрд рублей

По оценкам Росфинмониторинга, средний оборот теневых площадок в России по итогам 2023 года увеличился на 20% (с 1,5 млрд до 1,9 млрд рублей), при это длительность их существования не изменилась.

Из материалов Росфинмониторинга также следует, что теневые площадки в прошлом году оставались востребованным инструментом для функционирования теневой экономики. Их еще называют ландроматами (от англ. laundromat — прачечная). С их помощью «серая» экономика снабжается неконтролируемой наличностью и обеспечивается международными трансферами в обход государственного контроля. Ликвидация этого инструмента для отмывания денег позволила значительно затруднить доступ к сектору незаконных финансовых услуг, повысить законопослушность кредитных и некредитных организации?, в ряде случаев — сделать теневоий бизнес невыгодным для потребителей, отмечают в службе.

Кроме того, Росфинмониторинг сообщил о пресечении деятельности 14 финансовых пирамид в 2023 году, почти все из которых действовали на территории России в интернете.

«
С использованием материалов Росфинмониторинга правоохранительными органами возбуждено более 380 уголовных дел. Арестовано имущество на сумму порядка 2 млрд рублей, назначено к возмещению более 450 млн рублей ущерба, - сказано.
»

Годовой отчет о работе Федеральной службы по финансовому мониторингу

Мошенники выставляют на продажу на черном рынке не менее 5 компаний в день

Эксперты ГК «Солар» в 2023 году обнаружили 1844 российские компании, выставленные на продажу в теневом сегменте интернета для нелегальной активности, а это в среднем по пять компаний в день. При этом число подобных объявлений в сравнении с 2022 годом выросло на 42%, данный тренд продолжается и в 2024 году. Об этом компания сообщила 22 марта 2024 года.

Как отмечают эксперты центра мониторинга внешних цифровых угроз Solar AURA, юрлица покупают под нелегальную активность, например – незаконное обналичивание и отмывание средств. Помимо этого, компании могут быть задействованы в атаках на цепочки поставок или сценариях, связанных с ложным партнерством. Подобные компании можно использовать и для махинаций, связанных с фирмами-однодневками. Такие схемы наиболее опасны – компания, желающая стать контрагентом и созданная неделю назад, вызывает больше подозрений, чем тайно купленная организация с многолетней историей.

При анализе скомпрометированных данных за прошедший год было обнаружено 420 инцидентов, связанных с утечками конфиденциальной информации российских компаний. Первые два места по числу инцидентов заняли сферы услуг и электронной коммерции (28% и 26% соответственно), так как ранее они не уделяли должного внимания информационной безопасности из-за низкой заинтересованности хакеров. На третьем месте оказалась отрасль строительства и девелопмента (12%), на четвертом и пятом – ИТ (9%) и сектор образования (8%).

При этом за первые 2,5 месяца 2024 года уже утекли данные 170 компаний, что составляет 40% от всего числа инцидентов в 2023 году. Количество опубликованных данных составило 450 млн строк, среди них – 27,7 млн скомпрометированных email и 137 млн телефонных номеров. Для защиты от утечек следует использовать сложные пароли, не устанавливать одинаковые логины и пароли для разных аккаунтов, подключать, где это возможно, двухфакторную аутентификацию, не предоставлять личные данные на подозрительных и неофициальных веб-сайтах, а также использовать антивирусное ПО на всех своих устройствах.

Помимо этого, за 2023 год эксперты зафиксировали в даркнете и Telegram-каналах 13,3 тысяч объявлений с предложением различного рода нелегальных услуг – это, например, продажа взломанных аккаунтов, продукции в обход официальных каналов и т.д.

Больше всего злоумышленники интересовались предложениями по продаже аккаунтов, пробиву данных и вербовке сотрудников для совершения кибератак на крупные российские организации и ведомства (38%). На втором месте по интересу хакеров оказались объявления по финансовому сектору (31%) – это предложения по продаже банковских карт и доступов в личный кабинет клиента банка или оформление банковских счетов без визита в банк.

«
Фирма-однодневка легко вычисляется – ее обнаружит любая, даже самая поверхностная проверка, поэтому в трендах черного рынка 2023 и текущего года – покупка готовых юридических лиц под нелегальную активность. Опасность таких компаний заключается в том, что при внешней благонадежности, например, отличных финансовых и иных показателях, взаимодействие с ними может нести серьезные риски для бизнеса, – пояснил Александр Вураско, руководитель сервиса мониторинга внешних цифровых угроз Solar AURA ГК «Солар».
»

Эксперты ГК «Солар» рекомендуют компаниям постоянно повышать уровень знаний сотрудников о возможных внешних угрозах, обеспечить разграничение прав доступа и мониторинг перемещения данных внутри организации, а также внедрить и поддерживать в актуальном состоянии набор средств и классов решений для их защиты.

Для защиты бизнеса от репутационных и финансовых потерь специалисты сервиса по мониторингу внешних цифровых угроз Solar AURA отслеживают объявления о продаже компаний и формируют базу потенциально неблагонадежных контрагентов. Также сервис позволяет выявить признаки подготовки атак в даркнете, возможные утечки данных, фишинг от имени компании, незаконное использование бренда, подозрения на нелегальное применение эквайринга и другие факторы цифровых рисков.

С полной версией отчета Solar AURA «Ключевые внешние цифровые угрозы для российских компаний в 2023 году» можно ознакомиться по ссылке.

Большинство фишинговых атак помогает генерировать софт из даркнета

Более 80% фишинговых рассылок делаются с софта, который злоумышленники покупают в даркнете. Самые популярные программы стоят от 299 рублей, а некоторые и вовсе распространяются бесплатно. С их помощью можно украсть пароли и учетные данные. Есть и дорогие программы, которые дают доступ к Telegram пользователя и позволяют перехватывать нажатия клавиш - их стоимость доходит до $15 000. Об этом 21 ноября 2023 года сообщила пресс-служба депутата ГосДумы РФ Антона Немкина. Подробнее здесь.

Даркнет-маркет InTheBox «за копейки» продаёт вредоносные пакеты для кражи данных банковских приложений и криптокошельков

Магазин InTheBox продвигает на российских киберпреступных форумах веб-инжекты для кражи учетных данных и конфиденциальной информации из банковских приложений, криптокошельков и приложений электронной коммерции. Об этом стало известно 2 февраля 2023 года.

Веб-инжекты совместимы с различными банковскими троянами для Android и имитируют популярные приложения крупных организаций, используемые практически на всех континентах. Как правило, мобильные банковские трояны проверяют, какие приложения присутствуют на зараженном устройстве, и извлекают из C2-сервера веб-инжекты, соответствующие определённым приложениям. Когда жертва запускает целевое приложение, вредоносное ПО автоматически загружает оверлей, имитирующий интерфейс легитимного продукта.

Магазин InTheBox

Согласно анализу Cyble, по состоянию на январь 2023 года InTheBox продаёт следующие пакеты веб-инжектов:

  • 814 веб- инжектов, совместимых с Alien, ERMAC , Octopus и MetaDroid за $6512;
  • 495 веб- инжектов, совместимых с Cerberus, за $3960;
  • 585 веб-инжектов, совместимых с Hydra, за $4680.

Для тех, кто не хочет покупать целые пакеты, InTheBox также продает веб-инжекты по отдельности по $30 за штуку. Магазин также позволяет пользователям заказывать веб-инжекты индивидуально для любых вредоносных программ.

Пакеты веб-инжектов InTheBox включают PNG-значки приложений и HTML-файл с кодом JavaScript, который собирает учетные данные жертвы и другие конфиденциальные данные. В большинстве случаев инжекты имеют второй оверлей, который просит пользователя ввести номер кредитной карты, дату истечения срока действия и номер CVV. Cyble утверждает, что инжекты InTheBox проверяют действительность номеров кредитных карт с помощью алгоритма Луна (Luhn algorithm), который отфильтровывает неверные данные. Затем украденные данные преобразуются в строку и отправляются на сервер, контролируемый злоумышленником.

Код шаблона наложения (слева) и скрипт для проверки номера карты (справа)

InTheBox продает веб-инжекты для Android с февраля 2020 года, постоянно добавляя страницы, нацеленные на большее количество банков и финансовых приложений. Эксперты Cyble подтвердили, что веб-инжекты InTheBox использовались троянами Coper и Alien в 2021 и 2022 году соответственно. Доступность веб-инжектов в таком количестве и по низким ценам позволяет киберпреступникам сосредоточиться на других частях своих кампаний, разработке вредоносного ПО и расширении своей атаки на другие регионы.

Эксперты Resecurity, которые обнаружили этот даркнет-рынок, назвали InTheBox наиболее значимым источником банковских краж и мошенничества с использованием мобильных устройств. Большинство мобильных вредоносных программ, поддерживаемых InTheBox, ориентированы на Android устройства[2].

Одна из крупнейших в даркнете площадок по продаже наркотиков захвачена конкурентом

В середине января 2023 года стало известно о том, что площадка Solaris, крупный игрок рынка даркнета, специализирующийся на наркотиках и запрещённых веществах, была захвачена более мелким конкурентом. Подробнее здесь.

2022

Доходы магазинов в даркнете сократились вдвое — до $1,5 млрд

В 2022 году доходы даркнет-рынков и мошеннических торговых площадок снизились по сравнению с предыдущим годом. Общая выучка таких платформ составила $1,5 млрд против $3,1 млрд в 2021 году. Такие данные приводятся в исследовании компании Chainalysis, результаты которого обнародованы 9 февраля 2023 года.

Рынок даркнета возглавил Hydra Market, несмотря на то, что он был закрыт в апреле 2022 года. Три следующих по доходности платформы — Mega Darknet Market, Blacksprut и OMG!OMG! На таких площадках продаются похищенные персональные данные, например, сведения о банковских картах.

«
Закрытие Hydra вызвало снижение доходов рынка даркнета, при этом средняя дневная выручка в глобальном масштабе сократилась с $4,2 млн до $447 тыс., — говорится в исследовании.
»

До своего закрытия Hydra захватывала 93,3% рыночной экосистемы даркнета 2022 года. В российском сегменте при этом лидируют продажа наркотиков и услуги по отмыванию денег.

В течение большей части апреля и мая 2022 года площадка OMG!OMG! захватила более 50% общей доли рынка, достигнув пика в 65,2% весной. По сути, эта платформа стала преемником Hydra. В июне 2022-го площадка подверглась DDoS-атаке, которая, вероятно, заставила участников рынка перейти на Mega Darknet Market и Blacksprut. В конце ноября 2022-го была атакована платформа Blacksprut.

Отмечается также, что 2022-й стал самым доходным годом для крипто-хакеров: у криптовалютных компаний было украдено $3,8 млрд. Для сравнения: в 2021 году этот показатель равнялся $3,3 млрд, а в 2020-м — $0,5 млрд. Всплески хакерской активности были зафиксированы в марте и октябре 2022-го. Например, осенью (только в октябре) было украдено $775,7 млн в ходе 32 отдельных атак. На протоколы DeFi пришлось 82,1% всей криптовалюты, украденной хакерами: это приблизительно $3,1 млрд.[3]

Услуги по освобождению активов россиян, заблокированных на иностранных криптобиржах

В даркнете к декабрю 2022 г растет число предложений услуг по освобождению активов российских инвесторов, заблокированных на иностранных криптобиржах Binance, Kraken, Huobi, KuCoin. Это возможно, например, через вывод средств на незаблокированный аккаунт, переоформление аккаунтов со сбрасыванием условия KYC. Но услуги могут обходиться недешево, в 35-85% от стоимости активов, и нередко оказываются мошенничеством.

В даркнете нашли крупнейший рынок вирусов для кражи денег с банковских счетов

25 ноября 2022 года компания Resecurity сообщила об обнаружении в даркнете крупнейшего рынка вредоносного программного обеспечения для кражи денег с банковских счетов. Подробнее здесь.

Развитие услуг по проведению трансграничных платежей из-за санкций против России

В ноябре 2022 г в даркнете набирает популярность услуга по проведению трансграничных платежей, писал "КоммерсантЪ".

Причиной стали трудности с проведением средств через банки, в том числе в связи с отключением их от международных платежных сервисов. За 20–30% от суммы перевода посредники проводят для россиян международные платежи в любых валютах для оплаты параллельного импорта, обхода санкций или валютного контроля. Зарубежные контрагенты такие схемы используют чтобы избежать риска попадания под вторичные санкции.

2021

В Москве арестованы три человека, обвиняемые в продаже личных данных людей через даркнет

Правоохранители задержали в Москве троих мужчин по обвинению в том, что те за деньги осуществляли поиск личных данных частных лиц. Об этом стало известно 2 ноября 2021 года.

Как сообщается, задержанные невольно помогли в расследованиях основателю ФБК Алексею Навальному (ФБК включен Минюстом в реестр организаций, выполняющих функции иностранного агента, и признан экстремистской организацией).

По его ТАСС, задержаны Петр Катков, Александр Зеленцов и Игорь Зайцев. С помощью теневого интернета искали клиентов и продавали им личные данные различных граждан: телефоны, адреса и прочее. Для этого они использовали поддельные документы, в том числе, удостоверениями сотрудников полиции.

Задержанным предъявлены обвинения в подделке документов и нарушении тайны телефонных переговоров. По решению Басманного суда подозреваемые отправлены под домашний арест из-за расследования по статье 327 и 138 УК РФ[4].

В даркнете средняя цена доступа ко взломанным сетям составляет $10 тыс.

11 августа 2021 года эксперты компании IntSights поделились данными исследования, в ходе которого изучили продажи доступа к сетям на подпольных русскоязычных и англоязычных форумах.

В исследование включен количественный и качественный анализ выборки из 46 выставленных на продажу доступов к сетям на подпольных форумах. Из этой выборки на семь продавцов приходилось более половины продаваемых точек доступа, что представляет собой более широкую тенденцию концентрированных атак со стороны хакеров, зависящих от конкретных поставщиков. В 40 объявлениях о продаже доступа ко взломанным сетям было указано местонахождение организаций жертв. 40% взломанных компаний находились в США или Канаде.

По словам экспертов, 10 из 46 взломанных компаний работали в телекоммуникационной отрасли, в то время как финансовые услуги, здравоохранение и фармацевтика, энергетика и промышленность заняли второе место по популярности.

Как показали результаты исследования, более 37% всех жертв в выборке данных были из Северной Америки, при этом средняя цена доступа составляла $9640. Доступ к крупному поставщику телекоммуникационных услуг в Азии с годовым доходом более $1 млрд стоил $95 тыс.

По словам исследователей, форумы даркнета позволяют создать децентрализованную систему, в которой менее опытные киберпреступники могут полагаться друг на друга для решения различных задач, позволяя большинству операторов программ-вымогателей просто покупать доступ у других.

Предлагаемый сетевой доступ варьируется от учетных данных системных администраторов до полноценного удаленного доступа к сети. Поскольку миллионы людей перешли на удаленный режим работы из-за пандемии коронавирусной инфекции (COVID-19), продажи доступа к сети значительно выросли за последние 18 месяцев.

Иногда злоумышленники понимают, что во взломанной сети нет данных, которые можно украсть или продать, в результате чего они решают продать доступ вымогательским группировкам. Сообщения, предлагающие скомпрометированный доступ к сети, включают информацию о жертве, форме и уровне доступа. Иногда жертвы идентифицируются по местонахождению, отрасли или сектору, и часто включается информация о доходах. Описания могут также включать количество и типы компьютеров в сети или типы файлов и данных, которые они содержат.[5]

Служба внешней разведки России открыла виртуальную приёмную в даркнете

Служба внешней разведки России (СВР) открыла виртуальную приёмную в даркнете, став первой спецслужбой в Европе, которой можно пожаловаться в теневом интернете. Об этом стало известно 20 апреля 2021 года. Подробнее здесь.

Ликвидирован рынок даркнета по продаже наркотиков и краденных кредиток

Ликвидированный правоохранителями Европы и США рынок DarkMarket специализировался на торговле наркотиками, фальшивыми деньгами, крадеными кредитками, анонимными SIM-картами и вредоносным ПО. Об этом стало известно 26 января 2021 года.

На момент закрытия DarkMarket насчитывал 500 тыс. пользователей и более 2,4 тыс. поставщиков нелегальных товаров. В архивах сохранились данные о 320 тыс. транзакций общей стоимостью около $170 млн.

Правоохранители арестовали предположительного создателя площадки. Им оказался 34-летний гражданин Австралии. Его задержали на границе Германии и Дании.

Ликвидация DarkMarket стала побочным результатом крупномасштабного расследования в отношении «пуленепробиваемого» хостинга CyberBunker, чьими услугами в прошлом пользовались The Pirate Bay и WikiLeaks.

Сотрудникам правоохранительных органов удалось перехватить контроль над всей аппаратной инфраструктурой, в том числе более чем двумя десятками серверов, физически располагавшимися на территории Молдовы и Украины.

Европол регулярно рапортует об операциях против различных маркетов в даркнете, однако далеко не все из них действительно оказываются успешными. Например, в самом конце 2020 г. Европол объявил о ликвидации рынка Joker’sStash, однако его владелец сообщил, что нейтрализован оказался лишь внешний домен, а сам рынок продолжает функционировать без всяких проблем.

«
Это далеко не первый ликвидированный подпольный рынок, и даже не самый крупный: в мае 2020 года Европол истребил Wall Street Market, у которого насчитывались более миллиона пользователей, — говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEQ (ранее SEC Consult Services). — Проблема в том, что место каждой такой уничтоженной площадки быстро занимает другая, а иногда и сразу несколько. Ресурсы, которые необходимо затратить на ликвидацию подобных рассадников, намного превосходят те, которые тратят создатели подобных рынков, так что на окончательную победу правоохранителей рассчитывать не приходится. Только на то, что этих площадок будет минимальное количество[6].
»

Выставлена на продажу SQLi уязвимость на Pickpoint.ru за 1000$

В даркнете выставлена на продажу SQLi уязвимость на Pickpoint.ru и продается за 1000$. Об этом стало известно 18 января 2021 года. Подробнее здесь.

2020

Продажи доступов в скомпрометированные сети компаний выросли в 4 раза

Компания Group-IB, международная компания, специализирующаяся на предотвращении кибератак, исследовала ключевые изменения, произошедшие в сфере киберпреступлений в мире и 25 ноября 2020 года поделилась своими прогнозами по развитию киберугроз на 2021 год. Подробнее здесь.

По данным отчета Group-IB Hi-Tech Crime Trends 2020-2021, объем продаваемых на даркнет-форумах доступов к корпоративным сетям компаний увеличивается ежегодно, однако пик пришелся на 2020 год. Оценить общий объем рынка продажи доступов в андеграунде достаточно сложно: злоумышленники часто не публикуют цены, а сделки происходят «в привате». Однако технологии Group-IB по исследованию таких площадок, в том числе с учетом удаленной и скрытой злоумышленниками информации, позволили оценить общий размер рынка в текущем периоде (H2 2019 — H1 2020) в $6 189 388, что в четыре раза больше прошлого периода (H2 2018 — H1 2019), когда он составлял $1 609 930.

В Group-IB зафиксировали тенденцию участия в этом «бизнесе» прогосударственных групп, стремящихся найти дополнительное финансирование: они также начинают продавать доступы в корпоративные сети. Так, летом 2020 года были опубликованы лоты о продаже доступов к большому количеству сетей, включая государственные ведомства США, оборонных подрядчиков (Airbus, Boeing, Raytheon и др.), ИТ-гигантов и медиакомпаний. Суммарно за лоты автор поста просил около $5 млн.

Только за первое полугодие 2020 хакерами было выставлено на продажу 277 лотов по продаже доступов к взломанным корпоративным сетям компаний. Количество продавцов также выросло до 63, из них 52 начали свою активность в этом году. Для сравнения в 2018 году активными были только 37 продавцов доступов. В 2019 году всего 50 продавцов выставили на продажу доступы к 130 компаниям. Суммарно рост продаж доступов в скомпрометированные сети компаний составил 162% относительно прошлогоднего периода (138 предложений против 362-х в текущем).

Анализируя сегмент продажи доступов, аналитики Group-IB прослеживают географическую и отраслевую корреляции с атаками шифровальщиков: наибольшее количество лотов было выставлено по американским компаниям (27%), а наиболее атакуемой отраслью в 2019-м оставалось производство (10,5%), а 2020-й принес спрос на доступы в государственные организации (10,5%), образовательные учреждения (10,5%) и ИТ-компании (9%). Стоит отметить, что продавцы такого «товара» на хакерских форумах все реже указывают такие атрибуты, как название компании, локацию или отрасль, благодаря чему установить жертву и ее расположение часто невозможно без взаимодействия с атакующими. Продажа доступа в компанию, как правило, является лишь этапом в реализации атаки: полученные привилегии могут быть использованы как для запуска программы-шифровальщика с последующим вымогательством, так и для кражи данных с целью продажи на даркнет-форумах или шпионажа.

Опубликован список компаний, пострадавших от вымогательского ПО

27 августа 2020 года стало известно о том, что в даркнете опубликован список компаний и организаций, которые были атакованы операторами вымогательского программного обеспечения. База данных содержит список из 280 жертв 12 различных киберпреступных группировок.

В списке, например, указан один из крупнейших в США производителей алкогольных напитков Brown-Forman Corporation, которому принадлежат такие бренды как Jack Daniel’s и Finlandia. Операторы вымогательского ПО REvil, также известного как Sodinokibi, в середине августа заявили о взломе компьютерных систем компании. Как сообщили преступники, им удалось похитить около 1 ТБ конфиденциальных данных из сети компании, включая информацию о сотрудниках, контрактах, финансовых документах и внутренней корреспонденции.

Также в списке фигурирует американский производитель систем на кристале (SoC) MaxLinear, который в июне 2020 года стал жертвой кибератаки со стороны операторов вымогательского ПО Maze. Злоумышленники зашифровали данные некоторых компьютерных систем компании и вскоре опубликовали 10,3 ГБ бухгалтерской и финансовой информации из более чем 1 ТБ похищенных данных.

В последнее время все больше и больше операторов вымогательского ПО разрабатывают сайты, где они публикуют похищенные конфиденциальные данные жертв, отказавшихся платить выкуп. Теперь к их рядам присоединился такой вид вымогательского ПО, как Conti. Однако в отчетах специалистов из Arete, Bleeping Computer и Carbon Black утверждается, что Conti «управляется той же группировкой, которая в прошлом проводила атаки с помощью вымогателя Ryuk».

На сайте утечек Conti уже перечислены 26 компаний, которые стали жертвами атак группы и отказались платить выкуп.[7]

Запущен бесплатный сервис для мониторинга наличия данных компании в даркнете

В середине мая 2020 года компания ImmuniWeb, занимающаяся веб-безопасностью, представила бесплатный сервис ImmuniWeb Domain Security Test, который позволит предприятиям и организациям оценить свою уязвимость в даркнете. Онлайн-тест позволяет обнаружить, присутствуют ли данные и документы компании в "темной сети". Подробнее здесь.

Positive Technologies: на черном рынке растет популярность торговли доступами к корпоративным сетям

27 апреля 2020 года стало известно о том, что эксперты Positive Technologies провели исследование торговых площадок на теневом рынке киберуслуг и обнаружили всплеск интереса к доступам в корпоративную сеть: в первом квартале 2020 года число предложений о продаже доступов на 69% превышает показатели предыдущего квартала. Выявленный тренд существенно влияет на безопасность корпоративной инфраструктуры в период массового перевода сотрудников на удаленную работу.

Как сообщалось, в четвертом квартале 2019 года на продажу на хакерских форумах было выставлено более 50 доступов к сетям крупных компаний со всего мира (столько же было насчитано за весь 2018 год), а уже в первом квартале 2020 года в продаже было более 80 доступов. Чаще всего продаются доступы в промышленные организации, компании из сферы услуг, финансов, науки и образования, информационных технологий (все это 58% предложений в совокупности).

Количество новых веток на теневых форумах, посвященных доступам к корпоративным сетям

Если год-два назад злоумышленников в основном интересовали доступы к единичным серверам, которые стоили в пределах 20 $, то со второй половины 2019 года наблюдается рост интереса к покупке доступов к локальным сетям компаний. Выросли и суммы сделок. Например, на апрель 2020 года за доступ к инфраструктуре компании с годовым доходом от 500 млн $ предлагают долю до 30% от потенциальной прибыли после завершения атаки. Средняя стоимость привилегированного доступа к локальной сети сейчас составляет порядка 5000 $.

Распределение взломанных организаций по отраслям

В число жертв на апрель 2020 года входят организации с годовым доходом от сотен миллионов до нескольких миллиардов долларов. Чаще всего продаются доступы в компании из США (более трети всех предложений), также в пятерку входят Италия и Великобритания (по 5,2% предложений), Бразилия (4,4%), Германия (3,1%). При этом в случае США чаще всего продают доступы в организации сферы услуг (20%), промышленные компании (18%) и государственные учреждения (14%). Применительно к Италии в лидерах спроса промышленность (25%) и сфера услуг (17%), а в Великобритании ― сфера науки и образования (25%) и финансовая отрасль (17%). По 29% всех продаваемых доступов в немецкие компании приходится на сферу ИТ и сферу услуг.

География взломанных компаний

Обычно покупатели такого товара — другие злоумышленники. Они приобретают доступы, чтобы развить атаку самостоятельно либо нанять опытную команду хакеров для повышения привилегий в сети и размещения вредоносных файлов на критически важных узлах инфраструктуры компании-жертвы. Одними из первых такую схему взяли на вооружение операторы шифровальщиков.

Предложения о продаже доступов к сетям на теневом рынке
«
Мы ожидаем, что в ближайшее время крупные организации могут попасть под прицел низкоквалифицированных нарушителей, которые нашли способ легкого заработка. В период всемирного карантина, когда компании массово переводят сотрудников на удаленную работу, хакеры будут искать любую незакрытую брешь в системах на периметре сети. Чем крупнее компания, в сеть которой удастся получить доступ, и чем выше полученные привилегии, тем больше сможет заработать преступник.

рассказал Вадим Соловьев, старший аналитик Positive Technologies
»

Для того чтобы избежать проблем, эксперты Positive Technologies рекомендуют компаниям уделять внимание комплексной защите инфраструктуры — как на сетевом периметре, так и в локальной сети. В первую очередь следует убедиться, что все сервисы на периметре сети защищены, а в локальной сети обеспечен достаточный уровень мониторинга событий безопасности для выявления нарушителя. Регулярный ретроспективный анализ событий безопасности позволит обнаружить пропущенные ранее кибератаки и устранить угрозу до того, как злоумышленники украдут информацию или остановят бизнес-процессы.

В даркнете начали продавать кровь вылечившихся от коронавируса

В начале апреля 2020 года исследователи киберугроз в McAfee обнаружили сообщение на веб-форуме в даркнете, автор которого предлагал для продажи кровь человека, который выздоровел после заражения Covid-19.

Объявление, вероятно, связано с последними новостями, согласно которым у некоторых больных наблюдалось улучшение после переливания плазмы крови выздоровевших пациентов. По сообщению британского издания Guardian, улучшение наблюдалось у двух пациентов в двух разных пилотных исследованиях, одного в Ухане, а другого в Шэньчжэне. Однако рандомизированное исследование еще не проводилось, а самостоятельная попытка перелить кровь неизвестного происхождения, особенно если она была получена на черном рынке, может оказаться смертельно опасной.

Исследователи киберугроз в McAfee обнаружили сообщение на веб-форуме в даркнете, автор которого предлагал для продажи кровь человека, который выздоровел после заражения Covid-19

Ведущий исследователь McAfee Кристиан Бик (Christiaan Beek) и главный исследовтаель Радж Самани (Raj Samani) отмечают, что взрыв мошенничества на фоне глобальных событий не был неожиданностью для специалистов по кибербезопасности, однако пандемия коронавируса выявила множество неожиданных векторов угроз.

«
Мы видели множество примеров того, как мошенники злоупотребляли доверием людей, используя актуальные новости, и текущие глобальные события не являются исключением, — написали Бик и Самани в своем блоге. — Covid-19 в качестве приманки не теряет своей актуальности. Мы регулярно выявляем все новые кампании, использующие коронавирус в корыстных интересах.
»

Бик и Самани изучают подпольные рынки Onion и других сервисов, используя каналы в сервисе обмена сообщениями Telegram. Среди прочего они обнаружили невероятное количество продавцов, наживающихся на масках для лица. Один сайт продавал маски по цене, в 10 раз превышающей розничную. Продавец якобы являлся законным оптовиком и поставщиком медицинских масок, однако не раскрывал свою личность.[8]

2019

Как в русскоязычном даркнете вербуют инсайдеров в банках

На конец 2019 г в русскоязычном сегменте даркнета работают около 70 сервисов по вербовке инсайдеров в банках, которые ежедневно сливают конфиденциальную информацию о счетах клиентов, сообщает dataleak.

Вербовщик получает от «пробивщика» в среднем 15 000 за каждого сотрудника. В задании указываются критерии поиска — например, позиция в организации. Дальше заказчик просто ждет, пока вербовщик скинет ему контакты готового к работе сотрудника. Ожидание в среднем длится 5–7 суток.

Стоимость вербовки колеблется от 7000 до 100 000 рублей и зависит от сложности задачи.

США лидируют по торговле огнестрельным оружием в даркнете

Данные на 2019 г.

Обнаружение 200 серверов «пуленепробиваемого» хостинг-провайдера

30 сентября 2019 года стало известно, что 200 серверов так называемого «пуленепробиваемого» хостинг-провайдера располагались в бывшем бункере НАТО. Подробнее здесь.

Русский язык – в пятёрке наиболее популярных в Даркнете

10 сентября 2019 года компания Trend Micro опубликовала исследование «Uncovering IoT Threats in the Cybercrime Underground», в котором описывается, как киберкриминальные группировки используют устройства IoT в своих целях и какие угрозы это создаёт. Аналитики Trend Micro исследовали даркнет, выясняя, какие уязвимости IoT наиболее популярны среди киберпреступников, а также на каких языках говорят участники киберподполья. В ходе исследования выяснилось, что русский язык вошёл в пятёрку наиболее популярных в Даркнете. Кроме русского в топ-5 языков даркнета присутствуют английский, португальский, испанский и арабский. В отчёте представлен анализ пяти киберпреступных сообществ, классифицированных в соответствии с языками, которые они используют для общения. Язык оказался более важным объединяющим фактором, чем географическое положение. Подробнее здесь.

Продажа базы подписчиков приложения TrueCaller

18 июля 2019 года InfoWatch сообщил итоги II квартала 2019 года с точки зрения утечек конфиденциальной информации из организаций и определил самые масштабные инциденты. В даркнете выставлена на продажу огромная база подписчиков популярного приложения TrueCaller – всего порядка 140 млн аккаунтов. За весь пакет данных неизвестные хотят получить 25 тыс. евро. Подробнее здесь.

Злоумышленник заработал $760 тыс. на поддельных доменах в «дарк нете»

Специалисты компании Digital Shadows 21 марта 2019 года сообщили о необычной мошеннической операции – массовом случае тайпсквоттинга в «темной сети» dark net. Под тайпсквоттингом подразумевается прием с регистрацией доменных имен, сходных в написании с наименованиями известных брендов. Условно говоря, имя домена example.com с первого взгляда довольно сложно отличить в адресной строке от имени exarnple.com. В случае с популярными брендами это позволяет злоумышленникам создавать на подобных доменах фальшивые сайты для похищения учетных данных или финансовых средств посетителей.

Об использовании тайпсквоттинга в общих доменах верхнего уровня известно давно. Но вот его применение в анонимной сети Tor – нечто иное. Исследователи Digital Shadows случайно наткнулись на заявления анонимного злоумышленника, похвалявшегося тем, что он смог создать сеть из 800 поддельных имен в «темной сети» (на псевдо-домене .ONION). Домены имитировали имена различных легитимных ресурсов dark net. Впрочем, слово «легитимных» в данном случае неуместно, поскольку речь идет в основном о хакерских торговых площадках, форумах и других ресурсах подобного рода. За четыре года фальшивые страницы принесли мошеннику порядка 760 тысяч долларов в криптовалюте биткоин. Деньги были получены от платежей за товары и услуги (которые злоумышленник, разумеется, не предоставлял), пожертвований на поддержание ресурсов (обычная практика для «темной сети») и торговли аккаунтами, учетные данные которых удалось похитить.

Проверить финансовые достижения мошенника экспертам Digital Shadows не удалось. Но они смогли обнаружить не менее 500 фальшивых доменов, действительно имитировавших популярные ресурсы сети Tor. И весьма вероятно, тайпсквоттинг в ней является и в самом деле прибыльным бизнесом. Задачу злоумышленников, в данном случае, облегчает и то обстоятельство, что адреса onion-ресурсов представляют собой длинный набор часто произвольных символов, а потому запомнить нужный адрес и отличить его от поддельного – практически невыполнимая задача[9].

Массовые задержания пользователей теневого интернета

В конце марта 2019 года стало известно о массовых задержаниях преступников, которые вели свою незаконную деятельность в теневом интернете.

Как пишет портал ComputerWeekly со ссылкой на заявление Европола, в рамках совместной операции под названием SaboTor правоохранительные органы в разных странах, в том числе в США, Канаде и Европе, произвели 61 арест и закрыли 50 веб-сервисов, используемых для ведения нелегального бизнеса.

Полиция устроила облаву в теневом интернете. 61 арест и 50 закрытых сервисов за раз

Получив 65 ордеров на обыск, полиция изъяла в общей сложности 300 кг наркотиков, 51 единицу огнестрельного оружия и более 6,2 млн млн евро незаконно заработанных денег, в том числе 4 млн евро в криптовалюте, 2 млн евро наличными и примерно 35 тыс. евро в золоте). Кроме того, в ходе операции SaboTor было допрошено 122 человека.

Одновременно с информацией о массовых задержаниях и обысках администрация крупнейшей подпольной торговой площадки Dream Market объявила о прекращении ее деятельности. Согласно сообщению на главной странице сайта, закрытие намечено на 30 апреля 2019 года, а управление всеми операциями будет передано «партнерской компании».

В социальных сетях распространяются самые разные теории, вплоть до предположений, что торговую площадку уже контролируют правоохранительные органы, и заходить на Dream Market (и новый сайт, чье открытие ожидается позже) небезопасно.

В Европоле говорят, что теневой интернет предоставляет безопасную среду для персональной конфиденциальности и свободы действий, но остается также «благодатной средой» для преступников и различных незаконных действий.

Исполнительный директор Европола Кэтрин Де Болле (Catherine De Bolle) говорит, что даркнет является не настолько скрытой средой, как думают многие.[10]

«
Когда вы покупаете или продаете нелегальные товары в интернете, вы не скрыты от правоохранительных органов и подвергаете себя опасности, — сказала она.
»

617 млн учетных записей с 16 взломанных сайтов продают в даркнете за $20 тыс. в биткойнах

12 февраля 2019 года стало известно, что на черном рынке Dream Market в даркнете были выставлены на продажу 617 млн учетных записей, похищенных у пользователей 16 взломанных сайтов. Подробнее здесь.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания