4 мар. 2022
Чем опасен даркнет и что там?

Сегодня поговорим, почему все дороги ведут в Даркнет, сможет ли обычный пользователь обезопасить себя от действий хакеров если решит окунуться в сей теневой океан.

И за хакерами тоже подглядывают

Хакеры не являются непреодолимой силой: они тоже ошибаются и не упускают возможности «покрасоваться» достижениями на хакерских форумах. Приглядевшись к представителям киберкрайма, можно увидеть, что за образом «анонимуса», за ореолом таинственности прячется обычный человек. А действия любого человека можно предугадать.

Теневой форум RAMP (Russian Anonymous Marketplace) — наиболее популярная «переговорная комната» русскоязычных хакеров в даркнете. Заглянув в гости на RAMP, вы увидите, как хакеры ведут дискуссии о программах-вымогателях, обмениваются опытом и идеями, предлагают услуги и продвигают собственные «продукты».

Специалисты по информационной безопасности обратили внимание на RAMP, когда хакеры стали активно делиться на форуме информацией о найденной уязвимости Log4Shell. Теневые пользователи не только обсуждали новость, но и на ходу разрабатывали подробные инструкции по использованию находки. Они делились JavaScript-кодами вредоносных программ и мнениями о типах серверов, уязвимых перед написанными эксплойтами. Незамедлительная реакция — оружие хакеров. Каждая найденная уязвимость — возможность сорвать куш.

О чем говорят в даркнет?

Эксперты по кибербезопасности выделяют три ключевые тенденции будущих атак. С ними придется столкнуться не только департаментам безопасности и ФСБ, но  сотрудникам компаний попавших под санкции. Именно эти темы чаще всего сегодня хакеры обсуждают на форуме RAMP:

  • Вредоносное ПО №1 — вирусы-шифровальщики;
  • Ransomware-as-a-Service (Вымогатель как услуга). Теперь эксплойты сдаются в аренду;
  • Получение доступа к жертве через партнеров.

Познакомимся с каждым направлением поближе. Что «у них» на уме?

Ransomware-as-a-Service

Хакеры любят деньги. Они требуют миллионные выкупы за разблокировку служебных и личных ПК или внутренних файлов. Логика «анонимусов» проста: больше атак — больше денег. По этой причине  постоянно ищут или разрабатывают системы, способные охватить больше пользователей ПК и компаний. Не все из них владеют хорошими профессиональными навыками, но каждый стремится к быстрому обогащению. Так в их среде и родилась услуга Ransomware-as-a-Service. 

Хакеры-разработчики на таких форумах, как RAMP, продвигают услуги, связанные с арендой готовых шифровальщиков. Использование RaaS-сервиса — путь для ленивых. «Чайники» из мира хакеров арендуют код шифровальщика у продавцов, настраивают эксплойт под собственные нужды и проводят атаку по выбранной цели. После проникновения во внутреннюю сеть «вредонос» шифрует данные, сообщает жертве о сумме выкупа и ждет, пока деньги не будут переведены на счет разработчиков RaaS-сервиса.

Киберпреступники, нацеленные на отечественные компании, в 2021-2022 году использовали программы-вымогатели Dharma, Crylock и Thanos, которые сдавались в аренду по принципу RaaS. К примеру, троян-шифровальщик Dharma Ransomware нацелен на элементы внутри каталога Users на Windows. В результате нападения ни открывать документы, ни продолжать работу невозможно, пока выкуп не будет выплачен. А если компания откажется от выкупа? Российские хакеры не сливают украденные данные на хакерские форумы и не продают их через аукционы. Обе стороны инцидента, жертва и киберпреступники, сохраняют молчание — в этом заключается особенность российских группировок.     

Как шифровальщик попадает в информационные системы компаний?

  • Через фишинговые или спам-рассылки, адресованные пользователям и сотрудникам компаний;
  • Через уязвимости в сетевых устройствах;
  • При использовании скомпрометированных паролей и логинов от аккаунтов удаленного рабочего стола.

Для успешной атаки преступникам потребуются ваши скомпрометированные учетные данные: логины, пароли, отпечатки пальцев, пример голоса.

Теперь вы знаете уязвимость хакеров №1: если ваши данные не появлялись в даркнете, вас сложнее взломать. Продолжим исследовать слабости киберпреступников. Пути заражения шифровальщиками — вторая тенденция, которую бурно обсуждают на форумах даркнета.

Доступ к жертве через партнеров

Наиболее успешные хакерские группировки избегают сложных моментов в ходе атаки: не экспериментируют с вредоносным ПО, доступ во внутренние системы компаний делегируют партнерам. Такие группировки держат курс на скорость атаки и размер «улова».   

Среди подобных группировок наиболее агрессивной стала FIN12 — группа русскоязычных вымогателей. Агенты FIN12 атакуют организации здравоохранения с доходом от $300 миллионов, образовательные, финансовые, промышленные, технологические учреждения Северной Америки, Европы и других стран. FIN12 поражает хакеров-конкурентов скоростью нападения: группировке достаточно двух с половиной дней, чтобы взломать компьютерные системы. Члены объединения не тратят время на поиск уязвимостей или паролей от аккаунтов, для проникновения в ИС компаний хакеры сотрудничают с «коллегами». В последнее время FIN12 доверяет задачу операторам ботнета TrickBot. 

Письма счастья от хакеров

Фишинговые рассылки — второй по популярности источник заражения программами-вымогателями. Какие приемы и уловки хакеры используют сейчас?

В конце 2021 года хакеры массово рассылали зараженные письма от имени компании DHL.

Анализ актуальных фишинговых сценариев показал, что чаще всего хакеры стали использовать атаки типа «spear-phishing», целевой фишинг. Злоумышленники уделяют особое внимание созданию персонализированных писем: узнают персональные данные получателя, затрагивают значимые для него темы или проблемы, вычисляют личностные особенности. Индивидуальный подход позволяет фишерам создавать привлекательные письма, на которые жертва захочет откликнуться.

«Участится фишинг, нацеленный на отдельных участников процесса покупки-продажи», — отмечают эксперты Positive Technologies.

Теперь вы знаете уязвимость хакеров №2: киберпреступники зависят от ваших ошибок. Если вы не реагируете на фишинг или умеете отличать вредоносные письма, вы перестаете быть тем самым слабым звеном в системе кибербезопасности.

Как стать «занозой» для хакера? Практические советы

Вредоносное ПО типа «вымогатели» и «блокировщики» бьет рекорды по популярности среди злоумышленников. Его стоит опасаться в первую очередь. Пока вы знаете только две уязвимости , но и этого достаточно, чтобы озадачить атакующих. Кроме того, вы прекрасно осведомлены о том, где хакеры арендуют программы, кого выбирают в потенциальные жертвы, и как программа-вымогатель попадает в информационные системы. Следующий этап: подготовиться к возможной встрече со злоумышленниками.

  • Запоминайте и избегайте ошибок, допущенных пользователями из других стран и компаний. Обновляйте пароль для удаленного рабочего стола, от аккаунтов на ПК и других служебных и личных сервисов каждые 90 дней;
  • Создавайте резервные копии файлов и документов в облачных хранилищах;
  • С подозрением относитесь к каждому входящему письму. Даже электронное сообщение от контрагента может быть идеально выполненным фишинговым письмом. Сканируйте вложения антивирусными программами. Хакеры отслеживают уязвимости и в старых ПО. Не забывайте обновлять программное обеспечение приложений, антивирусов и других сервисов. Чем быстрее, тем безопаснее!

Где проверить взломаны ли и слиты ли в сеть личные персональные данные?

Раз в два месяца проверяйте ваши персональные данные и почту на сервисе Have I Been Pwned. Убедитесь, что данные о вас не были скомпрометированы. Если своевременно отследить утечку, обновить почту и перевыпустить паспорт, то использовать ваши слитые данные хакеры не смогут.   

Что там в даркнете, и чем опасен?

Кража персональных данных, продажа вредоносного ПО, «пробив» пользователей, аренда ботов для проведения DDoS-атак — нити от каждого киберпреступления ведут в Даркнет. Теневая сеть — среда обитания киберпреступников разных категорий. На незаконных маркетплейсах отыщутся желающие подзаработать инсайдеры — штатные сотрудники компаний, которые торгуют конфиденциальной информацией. На кардерских форумах злоумышленники обсуждают способы обналичивания денег через взломанные банковские счета пользователей. На хакерских форумах улучшают вредоносное ПО, продают услуги по созданию поддельных сайтов, покупают слитые номера мобильных телефонов. Даркнет — плотная ширма, за которой хакеры отрабатывают будущие атаки, исследуют найденные уязвимости и планируют киберпреступления. 

Взломы, кражи данных, телефонное мошенничество, фишинг, доксинг, кардинг — устранением этих проблем должны заниматься специалисты по кибербезопасности. Такая мысль уже промелькнула у вас в голове? Давайте вернемся к показательной истории с трубопроводной компанией Colonial Pipeline.  

Атака хакеров на компанию стала возможной из-за скомпрометированного пароля ее сотрудника. Мужчина использовал на нескольких аккаунтах один и тот же набор символов, который до взлома информационных систем Colonial Pipeline уже был слит в Даркнет. Группировке DarkSide даже не потребовалось «нападать» на технические средства защиты компании или брать «безопасников» в заложники. Хакеры просто воспользовались ошибкой сотрудника. Невежество одного человека привело к критическим последствиям: авиакомпании экстренно изменили план полетов, работа трубопровода остановилась на несколько дней, цены на бензин и дизельное топливо достигли десятилетнего максимума.

Сам пользователь остается наиболее уязвимым звеном в системе кибербезопасности, и именно ему приходится сталкиваться с последствиями своих ошибок. Как защитить себя, свою семью и работу от ловушек, расставленных хакерами? Может, проще смириться с неизбежным и закрыть глаза на подступающие угрозы, чем самому стать специалистом по информационной безопасности?

Желанная цель всех виртуальных атак — безграмотный пользователь. Потенциальная жертва отправляет фотографии банковских карт, хранит пароли в сообщениях социальных сетей, не знает о существовании двухфакторной аутентификации и переходит по каждой ссылке из электронного письма.

Знание – сила

 Пользователь, сотрудник компании, пенсионер могут предугадать любое действие хакеров, если будут знать, с какого фланга ударит противник. Иными словами, к каким киберпреступлениям готовиться в 2022 году? Заглянем в жерло Даркнета.

Слитые персональные данные и сколько стоит

Слитые базы данных продолжают интересовать злоумышленников всех категорий. В этом сегменте Даркнета редко что-либо меняется. Покупателями были и остаются «сотрудники» банков, «генералы» и «сотрудники» несуществующих департаментов безопасности. За масками продавцов все еще скрываются инсайдеры, внедряющиеся в крупные компании, чтобы скопировать базы данных.

Недавнее исследование «Лаборатории Касперского» в цифрах подтверждает, что спрос и предложение на персональные данные в Даркнете примерно равны. На русскоязычных маркетплейсах пакет данных (скан паспорта, селфи с паспортом, ИНН, СНИЛС) стоит 300 рублей, а скан паспорта и ИНН — всего 100. Приобретенные данные начинают «работать» на злоумышленника: их используют для фишинга, телефонного мошенничества или для атак с подменой SIM-карт.

В Даркнет спрос не падает на услугу по «пробиву» пользователей

Ее цена в разы выше. И целью «пробива» становятся не группы людей, а один человек. Если хакер примет «заказ», он узнает всю информацию о жертве: не только номер телефона, но и детализацию звонков; не только банковские данные, но и входящие, исходящие платежи.

Среди запрещенных онлайн-рынков рейтинг популярности растет у площадки 2easy — теневого маркетплейса Даркнета. Сервис торгует архивами данных, собранными с 600 тысяч устройств. Базы данных собирают через вредоносное ПО, помещенное на сайты с низким уровнем защиты. Один архив теневые продавцы отдают за 5 долларов.

Как узнать, держат ли меня на прицеле мошенники, и как защититься?

  • Для начала нужно проверить были ли скомпрометированы ваши персональные данные. Просканируйте личную почту на взломы через сервисы Have I Been Pwned или HackenAI. Изучите список онлайн-ресурсов, взлом которых был зафиксирован. Если в списке вы заметили сайт, которым пользуетесь, поменяйте пароль от личной почты;
  • Список взломанных ресурсов: haveibeenpwned.com/PwnedWebsites
  • Для регистрации на онлайн-ресурсах используйте дополнительную электронную почту, к которой не привязан ваш номер телефона. Альтернативная рекомендация: создать дополнительную SIM-карту. Не совершайте звонки с этого номера и не отправляйте СМС. Используйте его только для регистрации аккаунтов или электронных почт; 
  • Удаляйте сообщения в мессенджерах, вложения в письмах (на личной почте), документы и другие файлы с конфиденциальной информацией из социальных сетей и других онлайн-ресурсов;
  • Используйте надежные пароли. Не устанавливайте один пароль для нескольких аккаунтов;
  • Подключите двухфакторную аутентификацию на всех онлайн-ресурсах. Во многих приложениях, интернет-порталах и сервисах для общения функция уже доступна;  
  • Не публикуйте расширенную информацию о себе в социальных сетях.

Угроза не испарится – это надолго!

Исследуя даркнет, компания Armor Threat Resistance Unit наткнулась на онлайн-площадку, существование которой вызывает серьезные  опасения у специалистов по кибербезопасности. HackTown —аналог образовательной интернет-платформы GeekBrains, только там обучают не верстке сайтов, финансовой аналитике или разработке мобильных игр. Как уверяют организаторы, площадка HackTown готовит хакеров-новичков к совершению любых киберпреступлений.

Хакеры с нами навсегда: одни группировки распадаются, другие отправляются в тюрьму, но на смену им приходят новые агенты. Охота  продолжится, сегодня за вашими действиями будут следить еще пристальнее и с большим нетерпением ждать, когда вы совершите ошибку. Стоит ли овчинка выделки? Только в случае, если вы планируете стать жертвой и ощутить все «прелести» общения с профи мошенниками и различного рода спецслужбами, то вам сюда — в тенета Даркнета.