Организация атаки с использованием шифровальщика обходится хакерам в 20 000 долларов

[Травыч]

Организация атаки с использованием шифровальщика обходится хакерам в 20 000 долларов​

Исследователи Positive Technologies изучили рынок даркнета и проанализировали цены на нелегальные киберуслуги и товары, а также затраты злоумышленников на проведение атак. Для этого исследования специалисты проанализировали 40 источников на русском и английском языках, в числе которых крупнейшие даркнет-форумы и маркетплейсы, а также каналы в Telegram различной тематики. Суммарно было изучено более 20 000 сообщений, в которых обсуждались вредоносное ПО, уязвимости, доступы к корпоративным сетям и киберпреступные услуги.

Как выяснилось, самый дорогой тип вредоносного ПО — это шифровальщик, чья медианная стоимость составляет 7500 долларов США. Также особую ценность представляют 0-day эксплоиты, которые нередко продают за миллионы долларов. Однако исследователи пишут, что чистая прибыль от успешной атаки может в среднем в пять раз превышать затраты на ее подготовку даже в условиях высоких цен.

По подсчетам экспертов, организация популярного сценария фишинговых атак с использованием шифровальщика обходится начинающим киберпреступникам минимум в 20 000 долларов США.

Если подготовка к атаке начинается с нуля, хакеры арендуют выделенные серверы, приобретают подписку на VPN-сервисы и другие инструменты, чтобы создать защищенную и анонимную управляющую инфраструктуру. Расходы также включают покупку исходного кода малвари или готового вредоноса по подписке, программ для его загрузки в систему жертвы и маскировки от средств защиты.

Кроме того, хакеры могут обратиться за консультацией к более опытным киберпреступникам, купить доступ к целевой инфраструктуре и данные о целевой компании, воспользоваться услугами по повышению привилегий в скомпрометированной системе. Отмечается, что перечень товаров и опций, а также утекшая малварь и инструкции к ней, могут максимально упростить задачи новичкам.

Из чего складывается стоимость подготовки атаки
Малварь — один из основных инструментов в арсенале хакеров. Так, 53% объявлений, касающихся таких программ, относятся к продаже.

В 19% случаев на продажу выставлены инфостилеры, предназначенные для кражи данных, в 17% — крипторы и инструменты обфускации кода, позволяющие скрываться от средств защиты, в 16% — загрузчики.

Медианная стоимость подобных вредоносов составляет 400, 70 и 500 долларов соответственно. Наиболее дорогой малварью являются шифровальщики, медианная стоимость которых равняется 7500 долларов (при этом встречаются предложения и за 320 000 долларов). Такие вредоносы в основном распространяются в рамках партнерской программы (RaaS, Ransomware-as-a-Service), участники которой получают 70–90% от выкупа жертвы. Чтобы стать «партнером», обычно требуется внести взнос в размере 0,05 биткоина (от 5000 долларов) и иметь хорошую репутацию в даркнете.

Другой популярный инструмент для атак — эксплоиты: 69% объявлений на эту тему связаны с продажей, при этом с долей в 32% лидируют сообщения, связанные с уязвимостями нулевого дня. В 31% случаев стоимость эксплоитов превышает 20 000 долларов, а порой может достигать нескольких миллионов.

Более низкие цены присущи доступам к корпоративным сетям компаний: 72% объявлений в этом сегменте относятся к продаже и 62% из них находятся в диапазоне до 1000 долларов.

Среди хакерских услуг наибольшей популярностью пользуется взлом ресурсов (49% сообщений): например, цены на компрометацию личного аккаунта электронной почты начинаются от 100 долларов, а корпоративного почтового ящика — от 200 долларов.

«На теневых площадках цены формируются двумя основными способами: либо продавцы сами определяют фиксированную стоимость, либо проводятся торги. Последние актуальны для эксклюзивных товаров, например для эксплоитов нулевого дня. Ресурсы, на которых проходят сделки, тоже зарабатывают, в том числе с помощью собственных гарант-сервисов, временно удерживающих средства покупателя до тех пор, пока он не подтвердит получение товара или услуги. На многих площадках такие услуги оказывает кто-то из администраторов или пользователи с хорошей репутацией. За это они получают минимум 4% от суммы сделки — форумы сами устанавливают тарифы», — комментирует Дмитрий Стрельцов, аналитик направления аналитических исследований Positive Technologies.

Аналитики Symantec обнаружили, что многие популярные расширения для Google Chrome передают данные по протоколу HTTP и жестко кодируют секреты в своем коде, тем самым подвергая пользователей опасности.

«Ряд широко используемых расширений непреднамеренно передают конфиденциальные данные через обычный HTTP, — сообщают исследователи. — Таким образом, они раскрывают домены, идентификаторы машин, данные об операционной системе, информацию об использовании и даже данные для деинсталляции в формате простого текста».

Также отсутствие шифрования трафика означает, что расширения подвержены атакам типа man-in-the-middle, то есть позволяют злоумышленникам, находящимся в той же сети, перехватывать и изменять данные, что может привести к серьезным последствиям.

В блоге компании исследователи перечисляют следующие проблемные расширения:

• SEMRush Rank (idbhoeaiokcojcgappfigpifhpkjgmab) и PI Rank (ccgdboldgdlngcgfdolahmiilojmfndl) — вызывают URL rank.trellian[.]com, используя обычный HTTP;
• Browsec VPN (omghfjlpggmjjaagoclmmobgdodcjboh) — использует HTTP для вызова URL-адреса деинсталляци browsec-uninstall.s3-website.eu-central-1.amazonaws[.]com, если пользователь пытается удалить расширение;
• MSN New Tab (lklfbkdigihjaaeamncibechhgalldgl) и MSN Homepage, Bing Search & News (midiombanaceofjhodpdibeppmnamfcj) — передают уникальный идентификатор машины пользователя и другие данные по HTTP на адрес g.ceipmsn[.]com;
• DualSafe Password Manager & Digital Vault (lgbjhdkjmpgjgcbcdlhkokkckpjmedgc) — отправляет HTTP-запросы на stats.itopupdate[.]com вместе с информацией о версии расширения, языке браузера пользователя и «типе использования» продукта.

«Хотя прямой утечки учетных данных или паролей не происходит, тот факт, что менеджер паролей использует незашифрованные запросы для передачи своей телеметрии, подрывает доверие к его системе безопасности в целом», — отмечают эксперты, говоря о DualSafe Password Manager & Digital Vault.

Кроме того, в Symantec обнаружили целый набор расширений с API-ключами, секретами и токенами, жестко закодированными непосредственно в коде. Исследователи предупреждают, что злоумышленники могут использовать это для создания вредоносных запросов и выполнения различных мошеннических действий.

• Avast Online Security & Privacy (gomekmidlodglbbmalcneegieacbdmki), AVG Online Security (nbmoafcmbajniiapeidgficgifbfmjfo), Speed Dial [FVD] - New Tab Page, 3D, Sync (llaficoajjainaijghjlofdfmbjpebpa) и SellerSprite - Amazon Research Tool (ID: lnbmbgocenenhhhdojdielgnmeflbnfb) — раскрывают жестко закодированные секреты API Google Analytics 4 (GA4), которые могут использоваться хакерами для атак на эндпоинты GA4 и искажения метрик;
• Equatio - Math Made Digital (hjngolefdpdnooamgdldlkjgmdcmcjnc) — содержит ключ API Microsoft Azure, используемый для распознавания речи, что злоумышленники могут использовать для завышения расходов разработчиков или исчерпания лимитов;
• Awesome Screen Recorder & Screenshot (nlipoenfbbikpbjkfpfillcgkoblgpmj) и Scrolling Screenshot Tool & Screen Capture (mfpiaehgjbbfednooihadalhehabhcjo) — раскрывают ключ доступа разработчика к Amazon Web Services (AWS), используемый для загрузки скриншотов в бакет S3;
• Microsoft Editor - Spelling & Grammar Checker (gpaiobkfhnonedkhhhfjpmhdalgeoebfa) — раскрывает ключ для телеметрии StatsApiKey, который нужен для регистрации пользовательских данных и аналитики;
• Antidote Connector (lmbopdiikkamfphhgcckcjhojnokgfeo) — в состав расширения входит сторонняя библиотека InboxSDK, содержащая жестко закодированные учетные данные, включая ключи API;
• Watch2Gether (cimpffimgeipdhnhjohpbehjkcdpjolg) — раскрывает API-ключ Tenor для поиска GIF;
• Trust Wallet (egjidjbpglichdcondbcbdnbeeppgdph) — раскрывает ключ API, связанный с Web3-платформой Ramp Network, которая предоставляет возможность покупать или продавать криптовалюту прямо из приложения;
• TravelArrow - Your Virtual Travel Agent (coplmfnphahpcknbchcehdikbdieognn) — раскрывает API-ключ, связанный с геолокацией, при запросах к ip-api[.]com.

Отмечается, что Antidote Connector — это лишь одно из более чем 90 расширений, использующих InboxSDK. То есть и другие расширения подвержены той же проблеме, но их названий в Symantec не раскрывают.

«От секретов аналитики GA4 до ключей Azure, от учетных данных AWS S3 до токенов Google. Каждый из этих сниппетов демонстрирует, что всего несколько строк кода могут поставить под угрозу целый сервис. Решение: никогда не храните конфиденциальные данные на стороне клиента», — говорят эксперты.

Разработчикам расширений настоятельно рекомендуется переходить на HTTPS, надежно хранить учетные данные на внутреннем сервере и проводить регулярную ротацию секретов, чтобы минимизировать риски.

«Пользователям перечисленных расширений следует подумать об их удалении, пока разработчики не устранят небезопасные HTTP-вызовы, — заявили в Symantec. — Это не теоретические риски. Незашифрованный трафик легко перехватить, а данные могут использоваться для профилирования, фишинга или других целевых атак. Главный вывод заключается в том, что множество установок и известный бренд не всегда гарантируют использование передовых методов шифрования».