Найти в Дзене
SEBERD IT Base
2 подписчика

Что происходит на черном рынке кибербезопасности?

2
9 мин
Знакомая компания заплатила выкуп. Никто не планировал платить, но альтернатива оказалась хуже. Восстановление потребовало бы недели, клиенты ушли бы, репутация пострадала. Заплатили. Получили ключи расшифровки. Продолжили работать.
Тогда стало понятно откуда вообще берутся те кто атакует и как устроена вся система.
Программное обеспечение содержит ошибки. Любой код достаточной сложности их
Оглавление

Рынок уязвимостей

Доступ к корпоративной сети продаётся за три тысячи рублей. Покупатель получает логин, пароль, инструкцию. Дальше дело техники. Я видел эти объявления. Они выглядят как обычные товары на маркетплейсе, только вместо одежды продаются взломанные VPN и аккаунты администраторов.

Знакомая компания заплатила выкуп. Никто не планировал платить, но альтернатива оказалась хуже. Восстановление потребовало бы недели, клиенты ушли бы, репутация пострадала. Заплатили. Получили ключи расшифровки. Продолжили работать.

Тогда стало понятно откуда вообще берутся те кто атакует и как устроена вся система.

Какие ошибки в коде используют хакеры

Программное обеспечение содержит ошибки. Любой код достаточной сложности их имеет. Переполнение буфера позволяет записать данные за пределы выделенной памяти и выполнить произвольный код. Инъекция SQL даёт доступ к базе данных через неправильно обработанный пользовательский ввод. Ошибки десериализации превращают безобидные данные в исполняемые команды. Многие из этих классов уязвимостей известны десятилетиями, но продолжают появляться в новом коде. Не потому что разработчики не знают о проблеме, а потому что защита от них требует дополнительных строк кода которые замедляют разработку. Такие уязвимости ценны для тех кто знает как их использовать.

Сколько стоит уязвимость на чёрном рынке

Исследователь находит уязвимость в популярной операционной системе. Это слабое место которое можно использовать для несанкционированного доступа. Перед ним выбор. Сообщить разработчику через официальную программу вознаграждений или продать тому, кто заплатит больше. 

Легальные программы платят от сотен тысяч до миллионов рублей. Теневые покупатели платят в несколько раз больше. Разница во времени эксклюзивности. Пока разработчик не узнал об уязвимости и не выпустил патч, эксплойт работает. Покупатель получает инструмент который невидим для защитных систем до момента обнаружения.

Как работает специализация в киберпреступности

Один находит слабое место, другой пишет эксплойт, третий проникает в корпоративную сеть, четвёртый разворачивает шифровальщик, пятый ведёт переговоры с жертвой, шестой отмывает средства через криптовалютные миксеры и обменники. Профессионализация достигла уровня легальных компаний. Техподдержка для жертв, инструкции как купить криптовалюту, гарантии расшифровки после оплаты.

Начальный доступ продаётся как товар. Взломанный аккаунт администратора домена стоит от нескольких сотен тысяч рублей в зависимости от размера компании. VPN-доступ к корпоративной сети дешевле, от десятков тысяч. RDP-подключения к серверам продаются оптом по несколько тысяч за штуку.

Весной прошлого года одна сеть клиник потеряла доступ к медицинским картам пациентов. Атака началась с фишингового письма отправленного бухгалтеру в пятницу вечером. Письмо выглядело как срочный запрос от главного врача. Бухгалтер кликнул по ссылке, ввёл пароль. К понедельнику утром вся сеть была зашифрована. Переговоры заняли неделю. Заплатили. Данные вернули.

Почему компании платят выкуп вымогателям

Ransomware (шифровальщик) работает потому что экономика на стороне атакующих. Компания теряет доступ к данным. Восстановление из резервных копий требует времени если копии вообще есть и не зашифрованы вместе с основными системами. Простой бизнеса стоит дороже выкупа в большинстве случаев. Поэтому платят.

Современные версии используют двойное вымогательство. Сначала данные копируются на сервер атакующих, потом шифруются на системах жертвы. Отказ платить за расшифровку приводит к публикации или продаже информации. Утечка конфиденциальной информации клиентов, финансовых документов, внутренней переписки часто обходится дороже чем сам простой систем.

Признаки которые пропускают:

  • Большинство компаний узнают о взломе когда шифрование уже запущено. Атакующие находятся в сети недели или месяцы до финальной атаки. За это время оставляют следы на которые никто не обращает внимания.
  • Странная активность в логах в 3 ночи от аккаунтов которым положено спать. Системный администратор вроде как работает когда все знают что он в отпуске. Бухгалтер заходит в базу данных в выходные. Это не сверхурочные, это разведка.
  • Небольшой рост исходящего трафика без видимой причины. Пара гигабайт в день, растянутые на недели. Данные копируются на внешние серверы малыми порциями чтобы не вызвать подозрений. К моменту шифрования всё уже украдено.
  • Новые запланированные задачи в системе без очевидного автора. Скрипты запускаются раз в несколько дней, проверяют доступность резервных копий, сканируют сеть. Подготовка к атаке выглядит как обычная автоматизация.
  • Попытки доступа к резервным копиям от обычных пользовательских аккаунтов. Зачем менеджеру по продажам права на бэкапы? Никто не спрашивает потому что запросы приходят через легитимные каналы с правильными учётными данными.
  • Отключенные или удалённые антивирусы с объяснением про технические причины. Конфликт с обновлением, ложное срабатывание на рабочий софт. Через неделю защита так и не включена обратно.

Такие признаки видны только если кто-то специально ищет. Никто не ищет до инцидента.

Как страхование усилило проблему кибератак

Страхование кибератак усилило проблему. Застрахованные организации стали приоритетными целями. Атакующие проверяют наличие страховки до атаки и корректируют сумму выкупа с учётом лимита страхового покрытия. Страховщики платят потому что это дешевле чем разбираться в судах. 

Замкнутый круг где все стороны кроме атакующих несут потери.

Что такое социальная инженерия в хакинге

Социальная инженерия обходит технические барьеры. Вместо поиска уязвимости достаточно позвонить в бухгалтерию под видом руководителя и попросить срочно перевести средства. Или отправить письмо якобы от IT отдела с просьбой обновить пароль по ссылке. Фишинг работает на усталости и невнимательности.  Из тысячи писем сработает одно. Этого достаточно.

Какие инструменты используют для кибератак

Инструменты атаки доступны публично. Дистрибутивы для тестирования безопасности содержат всё необходимое для проведения атак. Базы уязвимостей обновляются ежедневно. Видеоинструкции объясняют процесс пошагово. Барьер входа настолько низок что технические навыки перестали быть ограничением. Эти же инструменты используют легальные специалисты по безопасности для проверки систем. Граница между тестировщиком и атакующим определяется только наличием письменного разрешения.

Метасплоит автоматизирует эксплуатацию известных уязвимостей через готовые модули. Кобальт Страйк имитирует действия продвинутых атакующих для тестирования защиты, но взломанные копии используются в реальных атаках. Mimikatz извлекает пароли из памяти Windows систем. BloodHound визуализирует права доступа в Active Directory и показывает путь к доменным администраторам. 

Почему география работает против защиты

Атакующий в одной стране, серверы управления в другой, жертва в третьей, криптовалютные кошельки оформлены через сервисы четвёртой. Правоохранительные органы не могут действовать за пределами юрисдикции без международных договоров которые требуют месяцы.

Атака происходит за часы.

Некоторые государства толерантны к хакерским группам на своей территории при условии что цели находятся за границей. Иногда интересы частных групп и государственных структур пересекаются. Граница между киберпреступностью и кибершпионажем стирается когда одни и те же люди работают на оба фронта.

Как устройства интернета вещей создают угрозы

Устройства интернета вещей (IoT) множат проблему. Миллионы камер наблюдения, умных телевизоров, роутеров имеют стандартные пароли которые пользователи не меняют. Обновления безопасности либо не выпускаются либо не устанавливаются. Взломанные устройства собираются в ботнеты для DDoS атак или скрытого майнинга. Производители выпускают устройства с жизненным циклом 10-15 лет, но поддержку безопасности обеспечивают максимум 2-3 года. Остальное время устройство работает с известными уязвимостями которые никто не закроет.

Владелец камеры не замечает что его устройство участвует в атаке на банковскую инфраструктуру другой страны.

Что делает машинное обучение с кибербезопасностью

Машинное обучение ускоряет обе стороны. Защитники обучают модели распознавать аномалии в сетевом трафике. Атакующие используют те же технологии для генерации убедительных фишинговых писем которые адаптируются под конкретного получателя на основе его публичных данных из соцсетей. 

Инструменты доступны обеим сторонам но атакующим достаточно одного успеха из многих попыток. Асимметрия в чистом виде.

Почему данные стали токсичным активом

Данные становятся токсичным активом. Организации собирают персональную информацию, финансовые записи, медицинские данные потому что бизнес-модели требуют этого. Чем больше данных тем выше ценность для инвесторов. Одновременно чем больше данных тем острее привлекательность для атакующих и потенциальный ущерб от утечки. Компании оказываются в ловушке. Отказ от сбора данных снижает капитализацию и делает бизнес неконкурентоспособным. Продолжение сбора увеличивает риски и потенциальные штрафы за утечки. Выхода нет в рамках текущей модели.

Биометрия усугубляет ситуацию. Скомпрометированный пароль меняется за минуту. Скомпрометированный отпечаток пальца или скан лица остаётся скомпрометированным навсегда. 

Как криптовалюты помогают преступникам

Криптовалюты решили проблему преступников с получением денег. Раньше требовались банковские счета которые можно отследить и заблокировать. Сейчас транзакции проходят через децентрализованные сети, миксеры разрывают связь между отправителем и получателем, обменники позволяют вывести средства в фиат без верификации личности. Технология созданная для финансовой свободы и защиты от цензуры стала идеальной инфраструктурой для вымогательства. Создатели криптовалют не планировали этого, но архитектура системы делает такое применение неизбежным.

Почему защита всегда проигрывает атаке

Организации тратят миллионы на защиту и всё равно взламывают. Защитникам нужно закрыть все возможные векторы атаки. Атакующим достаточно обнаружить один.  Математика не на стороне защиты.

Единственный способ предотвратить утечку данных лежит в отказе от их сбора. Но вся цифровая экономика построена на противоположном принципе. Собирать больше, анализировать глубже, монетизировать эффективнее.

Что не так с приоритетами разработки

Рынок уязвимостей существует потому что приоритеты разработки не включают безопасность как базовое требование. Скорость выпуска продукта важнее. Добавление функций приоритетнее. Снижение затрат критичнее. Безопасность воспринимается как дополнительная опция которую можно добавить позже. Позже не наступает до первого инцидента.

Ситуация изменится только если изменятся стимулы. Пока атаковать выгоднее чем защищаться, пока платить выкупы дешевле чем инвестировать в превентивные меры, пока юрисдикции фрагментированы и не координируются, система держится.

Проблема не в инструментах и не в людях. Проблема в том что мы строим архитектуру которая не может быть безопасной по определению. Централизация данных создаёт цель. Вопрос не в том как улучшить защиту текущей системы, а в том возможна ли принципиально другая архитектура где уязвимость перестаёт быть товаром.

#кибербезопасность #инфобез #киберпреступления #информационнаябезопасность #защитаданных #киберугрозы #киберриски