17.10.2023 08:18
ptsecurity 3 2700 Источник

В начале 2023 года спецслужбы активно взялись за дарквеб: арестовали владельца крупного теневого форума Breached, захватили серверы группировки вымогателей Hive и перехватили контроль над популярным у мошенников мессенджером Exclu. Но этих мер оказалось мало, чтобы очистить мир от киберпреступности. Мы, аналитики Positive Technologies, прошерстили другую сторону интернета и выяснили, что сейчас интересно злоумышленникам. Если коротко — Ближний Восток. Хакеры ежедневно предлагают купить доступы к местным компаниям, продают гигантские базы данных и не стесняясь показывают, насколько этот регион беззащитен даже перед неопытными мошенниками.

Подробности нашего ралли по кибербарханам ищите в полном отчете, а под катом — немного спойлеров.

ОАЭ и Саудовская Аравия — в топе злоумышленников

Мы проверили больше 250 форумов и каналов в Telegram, а это, на минуточку, около 92 млн сообщений. Больше всего хакеры пишут про ОАЭ (46%) и Саудовскую Аравию (23%). Гораздо менее популярны Катар (10%), Кувейт (8%), Бахрейн (7%) и Оман (6%).

Доля сообщений на форумах по странам
Доля сообщений на форумах по странам

Киберпреступники знают, что на Ближнем Востоке огромное количество высококачественной нефти, которое позволяет государственным компаниям строить шикарные искусственные острова и платить футболистам сотни миллионов евро в год. А значит, по мнению хакеров, у компаний арабского мира найдутся деньги и для них.

Классический пример сообщения в дарквебе: злоумышленник предлагает всем желающим приобрести доступ к компании с офисом в Дубае и доходом 500 млн долларов. Что это за организация — неизвестно, но, судя по количеству сотрудников, а их 8000 человек, — потенциальный покупатель имеет дело с крупным бизнесом. Стартовая цена лота — 1500 $.

Продажа доступа к компании, связанной с нефтегазовой промышленностью
Продажа доступа к компании, связанной с нефтегазовой промышленностью

Восточный дарквеб-базар

Данные — с отрывом самый популярный товар на киберпросторах Ближнего Востока. Треть всех найденных сообщений в дарквебе относится к их покупке или продаже. И поверьте, злоумышленникам совсем неинтересны закрытые фотографии в соцсетях и частные переписки в мессенджерах. Персональные и учетные данные обычных людей облегчают хакерам последующий взлом компании, где работает жертва.

Доли сообщений по категориям
Доли сообщений по категориям

При этом интересно, что далеко не за все данные хакерам приходится платить. В дарквебе 31% всех данных компаний стран Персидского залива распространяется бесплатно. Происходит это из-за хактивистов: зачастую они занимаются темными делами не для финансовой выгоды, а по политическим соображениям, поэтому и готовы за бесценок отдавать терабайты ценнейшей для киберпреступников информации. Еще одна каста злоумышленников Робин Гудов — вымогатели. Они тоже частенько бесплатно публикуют данные своих жертв, но только с одним нюансом — если те отказались платить выкуп.

Доступы от 35 $

Злоумышленники используют доступы для развития дальнейшей атаки, в результате которой могут получить базы данных и продать их другим хакерам. Цена на такие доступы стартует от 35 $ и доходит до 40 000 $. Наибольшее количество предложений (49% от общего количества) представлено в диапазоне от 100 $ до 1000 $. Например, предлагается заплатить 5,5 тыс. долларов за доступ к строительной компании в Бахрейне.

Объявление о продаже доступа к строительной компании
Объявление о продаже доступа к строительной компании

Интересно, что 90% всех доступов имеют права администратора. Учитывая этот фактор, а также невысокую стоимость доступа, даже неопытные злоумышленники с небольшим бюджетом могут провести успешную атаку. Однако в дарквебе есть и дорогостоящие товары — доступы к компаниям-гигантам могут стоить заметно дороже и использоваться хакерами с более высоким уровнем подготовки для проведения сложных атак.

При этом доступы с пользовательскими правами упоминались лишь в 10% сообщений. Такой вид товара интересен киберпреступникам, которые готовы самостоятельно доработать его для проведения атаки.

Выводы

Ближний Восток — регион, в котором активно применяются новейшие методики кибератак. Местные пользователи страдают от масштабных фишинговых кампаний, основанных на крупных событиях и популярных темах, а также становятся жертвами целевых атак, проводимых хактивистами.

В сфере кибербезопасности страны Персидского залива не отличаются от других, за исключением того, что многие организации Ближнего Востока пока менее защищены. Это подтверждается низкой стоимостью доступов и большим количеством низкоквалифицированных хакеров. Все это в перспективе приведет к увеличению числа атак, что несомненно изменит киберландшафт региона. Будут ли эти изменения полезны — открытый вопрос, ответ на который зависит от того, насколько активно местные компании начнут выстраивать защиту для достижения результативной кибербезопасности.

Хотите лучше познакомиться с киберпространством Ближнего Востока? Читайте полное исследование по ссылке. А в предыдущем посте мы собрали топ-10 самых громких кибератак в странах этого региона за последние полтора года.

Анастасия Чурсина

Аналитик Positive Technologies

Комментарии (3)


  1. esselesse
    18.10.2023 05:59
    #26067386
    +1

    что, интересно, можно сделать, имея "доступ"? переписать компанию на себя?


    1. atimorin
      18.10.2023 05:59
      #26068362

      да много чего. самое популярное - залить рансомварь и просить биток, слить корп приваты и продать конкурентам, если ресурсы мощные - майнить. либо устроить тотальный дизастер в случае промышленной компании. и тд и тп


    1. ptsecurity Автор
      18.10.2023 05:59
      #26068552

      Не совсем так :) Доступ позволяет злоумышленникам развивать атаку во внутренней сети компании. Это может привести к недопустимым для организации событиям, например, краже денежных средств, нарушению и остановке бизнес-процессов на длительное время, утечке конфиденциальных данных, атаке на партнеров и клиентов.