Всем привет! На связи исследовательская группа Positive Technologies. Данные миллиарда людей, похищенные из баз популярных онлайн-магазинов, медицинских компаний, кредитных организаций и операторов сотовой связи оказываются в руках хакеров. То, что вчера считалось надежно защищенным, сегодня предлагается в дарквебе, часто совершенно бесплатно.
Как случилось, что все наши пароли и явки легко становятся добычей хакеров? Какие данные ценятся у хакеров больше всего и почему киберпреступники иногда выкладывают в открытый доступ утекшую информацию? Обсудим в этой статье. Мы изучили почти 1000 объявлений на форумах теневого рынка и свыше 700 сообщений о публично раскрытых инцидентах за первое полугодие 2024 года по всему миру.
А еще мы сняли видео про это – смотрите!
Подводя итоги первой половины 2024 года, сразу отметим главные тренды:
✅ ИТ-отрасль заняла второе место по объему утечек. Цель многих атак — исходный код.
✅ В фокусе у злоумышленников – учетные данные и коммерческая тайна. Объем утечек учетных данных из организаций поднялись до рекордных 21%, на 9 п. п. больше, чем годом ранее. Коммерческая тайна и другая конфиденциальная информация тоже "пошли в народ" — объем ее утечек составил 24%, что на 10 п. п. выше по сравнению с прошлым годом.
✅ Киберпреступников стали меньше интересовать персональные данные: количество их утечек снизилось: сначала до 37% в первом квартале, вернувшись на уровень 2022 года, а во втором квартале опустились до 25%. Но не стоит расслабляться – утечки персональных данных продолжают иметь внушительные объемы, только одна утечка данных может затронуть до 80% населения страны.
Что случилось в Сальвадоре
? В апреле стало известно об утечке персональных данных более 5 млн граждан Сальвадора (примерно 80% населения страны). Злоумышленник разместил дамп данных объемом 144 ГБ с 5,1 млн фотографий жителей страны с указанием соответствующих номеров удостоверения личности гражданина Сальвадора. В состав опубликованных персональных данных также вошли имя, фамилия, дата рождения, телефон, электронная почта и адрес места жительства. Эта один из первых случаев в истории киберпреступности, когда почти всё население страны пострадало от компрометации биометрических данных. Утечка персональных данных граждан Сальвадора предположительно связана с компрометацией криптокошелька Chivo, используемого в государстве для совершения платежных операций в криптовалюте. Напомним, что Сальвадор стал первым государством в мире, официально принявшим криптовалюту в качестве законного платежного средства. Впоследствии на теневом форуме также были опубликованы конфиденциальные данные самого криптокошелька Chivo — исходный код и учетные данные VPN для доступа к сети банкоматов.
Основные места хранения ценных данных, которые атакуют чаще всего:
базы данных (записи из таблиц, данные аналитики);
пользовательские устройства (файлы, загруженные на рабочие и мобильные устройства);
файловые хранилища (общие документы, исходный код);
корпоративные хранилища (неструктурированные данные в сыром и сжатом виде: резервные копии, снимки, журналы систем);
облачные сервисы (данные для корпоративных сервисов: CRM, ERP и др.);
production-серверы (временные файлы).
Кто-то «темнит»?
Анализ утечек конфиденциальной информации тесно связан с исследованием теневого рынка, на котором похитители обычно сбывают украденное. Что же творится на темной стороне коммерции?
В рейтинге стран по количеству объявлений на теневых форумах пятерку лидеров возглавляет Россия с долей в 10%, за ней следуют США, Индия, Китай и Индонезия.
Если говорить о региональном интересе злоумышленников, то чаще всего нам встречались предложения о продаже и бесплатной раздаче данных из стран Азии: на их долю пришлось около трети объявлений (30%). Это связано в том числе и с ростом активности злоумышленников в регионе.
Самым популярным типом данных в дарквебе за исследуемый период стали персональные данные: доля объявлений, связанных с их продажей или раздачей, составила 83%.
Прежде чем говорить о цене данных на теневом рынке, отметим, что не все базы продаются: количество объявлений о бесплатной раздаче (64%) практически в два раза превышает количество объявлений о продаже данных (33%). Больше всего предложений о бесплатной раздаче мы встретили среди российских компаний (88% от общего числа утечек из росcийских компаний).
Выходит, что не все злоумышленники хотят получить деньги?! Не совсем так. Часто они требуют выкуп за нераскрытие украденных данных, и не все жертвы его платят. Кроме того, если нет спроса на продаваемые данные, то мошенники могут спустя какое-то время опубликовать их бесплатно.
Что почем?
Более чем в половине объявлений на теневом рынке стоимость данных не превышает 1000 долларов. Дешевле всего продается стандартный набор персональных данных (ФИО, телефон, эл. почта и дата рождения), преимущественно из сферы услуг, торговли, онлайн-сервисов, науки и образования. Общее же количество уникальных номеров телефонов или адресов эл. почты незначительно влияет на стоимость объявления — 10 тыс. строк и 10 млн строк могут стоить одинаково.
? Во втором квартале 2024 года кибератаке подверглась компания Cylance, произошла утечка 34 млн электронных писем, а также неизвестного объема персональных данных клиентов и сотрудников, которые были выставлены на продажу за 750 тыс. долларов на теневом форуме. Другой яркий пример — торговая компания Advanced Auto Parts, ставшая жертвой крупной утечки данных, которые оцениваются на теневом рынке в 1,5 млн долларов.
Цена увеличивается, когда появляются дополнительные сведения о человеке, например паспортные данные, данные водительского удостоверения или страхового полиса, информация о финансовых счетах и банковских картах, биометрические данные и др. Предложения о продаже данных среднего ценового диапазона (до 10 000 долларов) чаще встречаются среди ИТ-компаний, финансовых организаций, государственных учреждений, медицинских организаций и промышленных компаний.
Наиболее дорогие объявления (свыше 50 000 долларов за 2 ТБ данных) относились к крупным финансовым организациям, торговым компаниям и ИТ-компаниям.
Правда, в половине объявлений о продаже (53%) не указана цена, она является договорной: обсуждается между продавцом и потенциальным покупателем. Поэтому на деле доля более дорогих объявлений может быть больше.
? В июне было выставлено объявление о продаже учетных данных более чем 400 компаний, включая доступ в инфраструктуру через такие сервисы и платформы, как Jira, Bamboo, Bitbucket, GitHub, GitLab, SSH, SFTP, Zabbix, AWS S3, AWS EC2, SVN и Terraform. Такое объявление представляет особую ценность, поэтому точная цена в объявлении не указана и является договорной. По заявлению злоумышленника, автора объявления, данные были получены в результате компрометации компании-подрядчика.
Основные отрасли-жертвы
Наибольшее число утечек конфиденциальной информации за рассматриваемый период пришлось на госучреждения (13%), ИТ-компании (12%) и компании промышленной отрасли (11%).
? Крупный инцидент произошел с французским правительственным агентством France Travail, ответственным за регистрацию безработных: произошла утечка персональных данных 43 млн граждан (что составляет 60% от всего населения), которые в течение последних 20 лет регистрировались в качестве нетрудоустроенных. Данные, которые были раскрыты в результате этой атаки, включают имя, дату рождения, место рождения, номер социального страхования (NIR), France Travail identifier, адрес электронной почты, почтовый адрес, номер телефона.
Один из факторов, который повлиял на рост утечек из ИТ-компаний, — множественные заражения вредоносным ПО открытых репозиториев, которые активно используют разработчики: исследователи Apiiro раскрыли новую волну скоординированной кампании, в результате которой на GitHub было загружено более 100 000 вредоносных репозиториев.
Позднее в мае исследователи компании Check Point обнаружили тысячи вредоносных расширений в магазине плагинов для бесплатного редактора исходного кода VS Code.
Поскольку ИТ-компании являются подрядчиками организаций многих отраслей, то проникновение в их инфраструктуру влечет за собой цепную реакцию успешных атак и на другие организации (а это недопустимое событие для ИТ-компаний).
? В первой половине 2024 года жертвой фишинговой атаки стала российская компания по ИБ SoftMall, в результате чего были раскрыты отчеты аудита информационной безопасности нескольких крупных контрагентов.
Утечки из промышленных организаций, которые замыкают топ-3, также могут привести к компрометации их клиентов.
? В результате кибератаки из корпоративной сети Schneider Electric были похищены терабайты конфиденциальных данных. Согласно имеющейся информации, в числе клиентов подвергшегося атаке подразделения Schneider Electric значатся такие крупные международные корпорации, как Clorox, DHL, Hilton, PepsiCo и Walmart.
Доля утечек данных из медицинских учреждений, занимавших первое место на протяжении всего 2023 года, заметно снизилась в начале 2024 года — на 11 п. п. по сравнению со второй половиной 2023 года. Утечки из медицинских организаций отличаются как большим объемом по количеству строк, так и разнообразием утекших данных.
? Sav-Rx — медицинская компания, базирующаяся во Фримонте (штат Небраска), в первом полугодии 2024 года сообщила о серьезной утечке данных, затронувшей более 2,8 миллиона человек.
Финансовые организации закрывают топ-5 отраслей по количеству утечек информации. Здесь доля инцидентов, закончившихся утечкой данных, наиболее высока: четыре из пяти успешных кибератак привели к утечке. Эта тенденция объяснима: простые в реализации атак программы-вымогатели позволяют злоумышленникам украсть данные клиентов — а продать их может быть легче, чем совершить успешную атаку на финансовые организации с целью кражи денег.
? Во втором квартале 2024 года злоумышленники украли реквизиты банковских счетов 30 миллионов человек, 6 миллионов номеров счетов и балансов, а также 28 миллионов номеров кредитных карт клиентов банка Santander в Испании, Чили и Уругвае.
Наконец, утечки онлайн-магазинов: они замыкают отраслевой рейтинг компаний-жертв и связаны со сливом данных покупателей. Кстати, чаще всего на теневых форумах предлагались базы данных компаний именно из сферы торговли и электронной коммерции, что составляет одну пятую долю от всех объявлений (21%).
? В марте этого года жертвой утечки данных стала платформа Pandabuy, на которой продают товары из Китая. В результате утечки были раскрыты более 1,3 млн действующих уникальных адресов эл. почты, что подтвердил создатель сервиса Have I Been Pwned? (HIBP), а также имена, фамилии, телефонные номера, IP-адреса, даты заказов, домашние адреса и другие сведения.
Позднее стало известно, что компания Pandabuy заплатила киберпреступникам выкуп за нераспространение данных, но злоумышленники на этом не остановились и продолжили заниматься вымогательством.
Чаще всего на теневых форумах размещаются данные, похищенные из российских ритейл-компаний, на их долю приходится 14% всех предложений баз данных по торговой отрасли.
? В конце июня жертвой утечки информации дважды стал интернет-магазин сети супермаркетов «Магнолия». В обоих случаях хакеры получили доступ к дампам баз данных, которые в общей сумме содержат личные данные 253 тыс. клиентов, включая ФИО, адреса доставки, номера телефонов, электронные адреса, состав заказов, хешированные пароли и купоны на скидки клиентов «Магнолии».
Российские ритейлеры — популярная цель злоумышленников: по данным нашего исследования за 2023 год, российские онлайн-магазины и маркетплейсы вошли в топ-3 по количеству сообщений о краже данных.
Заключение
С увеличением объема информации, количества пользователей и способов их взаимодействия, отделам ИТ и ИБ становится все труднее следить за безопасностью данных. В исследовании агентства Immuta треть опрошенных респондентов говорит, что в 2024 году управление данными и их безопасность стали важнее, чем внедрение ИИ в бизнес-процессы. А эксперты JupiterOne утверждают, что в 2023 году базы данных составили 39% от всех защищаемых ресурсов компаний, что почти вдвое больше, чем доля защищаемых устройств.
Полную версию первого исследования Positive Technologies, посвященного анализу утечек данных в России и мире и включающего также рекомендации по защите, можно прочитать на сайте компании.
Анна Голушко
Старший аналитик направления аналитических исследований Positive Technologies
AnROm
Интересно, кто-нибудь сообщает об этом в соответствующие организации, чтоб прикрыть лавочку?
Как же так... Во многих госучреждениях нет свободного доступа в интернет. Там выделяются под это отдельные компьютеры, и не все сайты на них доступны. А утечка все равно есть.