Серьезной проблемой для групп безопасности является извлечение разведданных из информации из открытых источников. Злоумышленники обычно размещают рекламу, подобную приведенной ниже. Этот субъект предлагает метод, но практически не дает никаких подсказок относительно того, как этот метод работает, и как от него защититься.
Это всего лишь пример того, насколько сложно получить информацию с рынка или форума. В предыдущей записи этого блога мы разработали новый метод отслеживания злоумышленников путем анализа контрактов, которые они разместили на крупнейшем английском хакерском форуме.
Хотя этот анализ был ценным, он был ограничен публичным характером форума. Действительно, поскольку это общедоступный веб-сайт, набор инструментов, рекламируемых в контрактах, был ограничен из-за опасения привлечь внимание властей.
Мы преодолеваем этот предел в этом сообщении в блоге, анализируя раздел сообщений о вакансиях (требуется помощь) на большом частном русском хакерском форуме darkweb. Злоумышленники, рекламирующие в этом разделе, могут быть более открытыми, учитывая конфиденциальность обстановки и использование русского языка.
В этом сообщении блога описаны наиболее распространенные типы сообщений с просьбой о помощи. Понимание потребностей в рабочей силе помогает нам определить типы угроз, которые будут запущены в ближайшие недели и месяцы, путем определения наиболее востребованных инструментов и наборов навыков . Там, где есть спрос на рабочую силу, вероятно, есть особенно выгодная уязвимость или уязвимость в инфраструктуре безопасности фирмы или организации.
Данные
В течение мая 2020 года на большом частном российском форуме в темной сети было создано 154 сообщения с просьбой о помощи.
102 (66%) из них искали разработчика . Разработчики привлекаются к команде хакеров для кодирования практически любого инструмента, который может понадобиться злоумышленнику для достижения своих целей. Это включает в себя создание новых форм вредоносных программ, веб-парсеров и инструментов, предназначенных для организации фишинговых атак.
Следующим по распространенности типом объявлений о вакансиях (32 (21%)) были общие хакерские услуги. Хакеры привлекаются для доступа к защищенным сетям и базам данных, для проникновения в которые другие злоумышленники могут не обладать навыками или ноу-хау. Этих хакеров чаще всего нанимают для взлома веб-сайтов и учетных записей электронной почты. Небольшая, но значительная часть сотрудников также нанимается за их навыки взлома зашифрованных файлов.
Мы выделили 6 категорий интересов:
Объявления о вакансиях
1. Развитие вредоносного ПО
Около 34% объявлений о вакансиях требует разработки вредоносной программы. Те, кто умеет работать с вредоносными программами, входят в число наиболее востребованных злоумышленниками профессионалов. Согласно объявлениям о вакансиях, самая большая проблема, с которой фактически сталкиваются злоумышленники, - это обход антивируса и другого программного обеспечения безопасности на рабочих станциях жертв. Индивидуальный характер вредоносного ПО значительно снижает риски обнаружения и увеличивает шансы на успешное заражение . Имея это в виду, многие объявления о вакансиях для разработчиков вредоносных программ представляют собой запросы для лиц, специализирующихся на маскировке вредоносных программ под легитимные программы. Цитата ниже просит кого-то помочь сделать это.
«В поисках того, кто сможет замаскировать мой исполняемый файл под сертификат.”
2. Инструменты фишинга
Около 3% сообщений с просьбой о помощи были связаны с фишингом. Как уже говорилось в этом блоге, фишинг представляет собой серьезную угрозу для компаний всех форм и размеров. Успешная фишинговая атака - непростая задача. Требуется координация нескольких злоумышленников, работающих вместе, чтобы собрать все необходимые элементы.
Например, для успешной фишинг-атаки по электронной почте необходимо, чтобы жертва была убеждена в легитимности злоумышленника на каждом этапе . Это означает, что каждая деталь, вплоть до электронного письма, полученного жертвой, кажется законной. Эти так называемые «письма» часто включают рандомизированные элементы, чтобы избежать спам-фильтров, и могут быть специально созданы злоумышленниками:
«На постоянной основе требуется кодировщик маленьких букв HTML. 3 письма в неделю, фиксированная оплата 600 долларов в месяц »
Фишинговые веб-сайты быстро выявляются и удаляются основными службами веб-хостинга. Точно так же большинство веб-браузеров обнаруживают мошеннические веб-сайты и предупреждают конечного пользователя перед переходом на веб-страницы. Поэтому злоумышленники ищут новые решения и инструменты для устранения этих предупреждающих сообщений:
Привет всем.
Я пытаюсь рассылать спам.
У меня есть свои базы [фишинговые сайты] (не публичные).
Но их содержимое быстро помечается как опасные сайты.
Готовы работать с людьми, у которых есть программное обеспечение для Windows и Android, или кто знает, как долго хранить фишинговый сайт, чтобы он не был отмечен красным ».
3. Взлом веб-сайта
Около 9% сообщений с просьбой о помощи ищут человека, способного взломать веб-сайты. Злоумышленники обычно хотят получить доступ, чтобы украсть конфиденциальную информацию, обнаруженную на серверной части веб-сайта. Сюда могут входить данные клиента, исполнительные данные или информация о кредитной карте. Злоумышленники, скорее всего, будут нацелены на веб-сайты, которые, по их мнению, имеют более низкие стандарты безопасности:
«Я ищу профессионального хакера для сайта без надежной защиты.
Нужно вытащить базу клиентов.
Сайты нужной мне темы не очень защищены».
Серверные базы данных обычно являются основными целями злоумышленников. Имея доступ к этим данным, злоумышленники могут перепродавать информацию с целью получения быстрой прибыли.
«Я ищу людей, которые имеют опыт работы в сфере интернет-безопасности.
Ищу людей, которые умеют выгружать базы данных с сайтов.
Я смогу быстро и эффективно превратить ваши свалки в деньги.
Я не буду делиться вашими дампами, не буду их выпускать, и никто не узнает о их существовании.
Если вы докажете, что способны, я покажу вам, что я с ними делаю.
Я могу поставить вам цели, или мы можем работать с тем, что вы имеете / получаете».
4. Взлом электронной почты
Еще 3% сообщений с просьбой о помощи ищут хакеров, которые могут украсть учетные данные электронной почты. Имея доступ к учетным данным электронной почты, злоумышленники могут выполнять различные задачи. Например, имея доступ к надежной учетной записи электронной почты, злоумышленник может организовать более убедительную фишинговую атаку. Они также могут использовать учетную запись для доступа к конфиденциальной корпоративной или личной информации. Наконец, в худшем случае со взломанной учетной записью корпоративной электронной почты c-suite злоумышленник может использовать учетную запись для авторизации денежных переводов на свои собственные счета.
«Мне нужен взлом электронной почты домена или возможность получить доступ к почтовому ящику в определенном домене, если это возможно.
В худшем случае мне нужно получить доступ к домену.
Рассмотрю любые предложения.
Заказы будут поступать с периодической периодичностью».
5. Взлом шифрования
Около 2% сообщений с просьбой о помощи привлекают злоумышленников для взлома зашифрованных баз данных и документов. Даже если злоумышленник успешно украл конфиденциальную информацию у человека или компании, необработанные данные могут быть недоступны из-за шифрования или защиты паролем. Следовательно, злоумышленник должен будет обратиться к хакеру, умеющему взламывать эти базы данных. Самые элитные из этих хакеров могут предоставить специализированное оборудование для обработки тысяч различных ключей дешифрования за короткое время:
«Расшифровка хэшей и дампов.
Предлагаем вам расшифровку ваших дампов.
Берем большой список алгоритмов.
Суммарная емкость более 60 видеокарт составляет 1080ти».
6. Парсинг веб-страниц.
Наконец, чуть менее 5% объявлений о вакансиях ищут человека для разработки программ-парсеров . Веб-скрапинг - это процесс сбора больших объемов данных с веб-сайта, обычно с помощью автоматизированной программы, с последующим сохранением в базе данных. Хотя веб-скрапинг по своей сути не является вредоносной деятельностью, киберпреступники будут очищать десятки веб-сайтов в поисках учетных данных и другой конфиденциальной информации , которую затем можно перепродать с целью получения прибыли.
На форуме хакеров даркнета, который мы исследовали, злоумышленники искали людей для разработки и запуска этих парсеров.
«Мне нужен кодировщик для написания нестандартного программного обеспечения.
Краткая информация:
Должна быть премьерная панель, где я мог бы добавлять URL-адреса, учетные данные и учетные записи прокси.
Затем программное обеспечение будет переходить по каждому URL-адресу с этими учетными данными с помощью прокси-сервера.
Он открывал определенные разделы, запускал поиск и собирал электронные письма, открывая файлы резюме.
Электронные письма будут храниться в файле, который я затем могу загрузить локально.
Работа начинается от 150 долларов с потолком около 500 долларов.
Цена будет зависеть от того, как все будет выполнено.
Мы можем обсудить цену.
Нам нужен человек, который готов приступить к работе как можно скорее и сделает все возможное».
В некоторых случаях профессиональный разработчик даже не нужен, так как злоумышленник может уже иметь доступ к необходимым инструментам. Таким образом, остается лишь передать утомительную работу соскабливания на аутсорсинг любому, кто захочет взять на себя эту работу:
«Ищу исполнителя, знания студента тоже пойдут. Доброго времени суток, ищу человека, которому нужна работа на постоянной основе. Знаний ноль, нужно будет ходить по гуглу и собирать нужные мне сайты. Еженедельная выплата 350 у.е. =) Для кого у меня полная занятость, пишите в контакты в подписи, деньги в поручителя скину или оплату по факту проделанной работы). И да, прошу не делать пишите людям с регой этого года, без обид, но к таким людям мало верят). Жду смельчака, если результат меня устроит, то оплата увеличится!» (идентификатор потока: 172863)
Заключение
Объявления о вакансиях на большом частном российском хакерском форуме в даркнете дают представление об угрозах, с которыми сталкивается большинство компаний и, вероятно, столкнутся с ними в ближайшем будущем. В частности, мы выделили 4 тенденции, о которых стоит помнить специалистам по безопасности.
Это всего лишь пример того, насколько сложно получить информацию с рынка или форума. В предыдущей записи этого блога мы разработали новый метод отслеживания злоумышленников путем анализа контрактов, которые они разместили на крупнейшем английском хакерском форуме.
Хотя этот анализ был ценным, он был ограничен публичным характером форума. Действительно, поскольку это общедоступный веб-сайт, набор инструментов, рекламируемых в контрактах, был ограничен из-за опасения привлечь внимание властей.
Мы преодолеваем этот предел в этом сообщении в блоге, анализируя раздел сообщений о вакансиях (требуется помощь) на большом частном русском хакерском форуме darkweb. Злоумышленники, рекламирующие в этом разделе, могут быть более открытыми, учитывая конфиденциальность обстановки и использование русского языка.
В этом сообщении блога описаны наиболее распространенные типы сообщений с просьбой о помощи. Понимание потребностей в рабочей силе помогает нам определить типы угроз, которые будут запущены в ближайшие недели и месяцы, путем определения наиболее востребованных инструментов и наборов навыков . Там, где есть спрос на рабочую силу, вероятно, есть особенно выгодная уязвимость или уязвимость в инфраструктуре безопасности фирмы или организации.
Данные
В течение мая 2020 года на большом частном российском форуме в темной сети было создано 154 сообщения с просьбой о помощи.
102 (66%) из них искали разработчика . Разработчики привлекаются к команде хакеров для кодирования практически любого инструмента, который может понадобиться злоумышленнику для достижения своих целей. Это включает в себя создание новых форм вредоносных программ, веб-парсеров и инструментов, предназначенных для организации фишинговых атак.
Следующим по распространенности типом объявлений о вакансиях (32 (21%)) были общие хакерские услуги. Хакеры привлекаются для доступа к защищенным сетям и базам данных, для проникновения в которые другие злоумышленники могут не обладать навыками или ноу-хау. Этих хакеров чаще всего нанимают для взлома веб-сайтов и учетных записей электронной почты. Небольшая, но значительная часть сотрудников также нанимается за их навыки взлома зашифрованных файлов.
Мы выделили 6 категорий интересов:
- Разработка вредоносного ПО
- Инструменты фишинга
- Взлом веб-сайтов
- Взлом электронной почты
- Взлом шифрования
- Веб-скрапинг
Объявления о вакансиях
1. Развитие вредоносного ПО
Около 34% объявлений о вакансиях требует разработки вредоносной программы. Те, кто умеет работать с вредоносными программами, входят в число наиболее востребованных злоумышленниками профессионалов. Согласно объявлениям о вакансиях, самая большая проблема, с которой фактически сталкиваются злоумышленники, - это обход антивируса и другого программного обеспечения безопасности на рабочих станциях жертв. Индивидуальный характер вредоносного ПО значительно снижает риски обнаружения и увеличивает шансы на успешное заражение . Имея это в виду, многие объявления о вакансиях для разработчиков вредоносных программ представляют собой запросы для лиц, специализирующихся на маскировке вредоносных программ под легитимные программы. Цитата ниже просит кого-то помочь сделать это.
«В поисках того, кто сможет замаскировать мой исполняемый файл под сертификат.”
2. Инструменты фишинга
Около 3% сообщений с просьбой о помощи были связаны с фишингом. Как уже говорилось в этом блоге, фишинг представляет собой серьезную угрозу для компаний всех форм и размеров. Успешная фишинговая атака - непростая задача. Требуется координация нескольких злоумышленников, работающих вместе, чтобы собрать все необходимые элементы.
Например, для успешной фишинг-атаки по электронной почте необходимо, чтобы жертва была убеждена в легитимности злоумышленника на каждом этапе . Это означает, что каждая деталь, вплоть до электронного письма, полученного жертвой, кажется законной. Эти так называемые «письма» часто включают рандомизированные элементы, чтобы избежать спам-фильтров, и могут быть специально созданы злоумышленниками:
«На постоянной основе требуется кодировщик маленьких букв HTML. 3 письма в неделю, фиксированная оплата 600 долларов в месяц »
Фишинговые веб-сайты быстро выявляются и удаляются основными службами веб-хостинга. Точно так же большинство веб-браузеров обнаруживают мошеннические веб-сайты и предупреждают конечного пользователя перед переходом на веб-страницы. Поэтому злоумышленники ищут новые решения и инструменты для устранения этих предупреждающих сообщений:
Привет всем.
Я пытаюсь рассылать спам.
У меня есть свои базы [фишинговые сайты] (не публичные).
Но их содержимое быстро помечается как опасные сайты.
Готовы работать с людьми, у которых есть программное обеспечение для Windows и Android, или кто знает, как долго хранить фишинговый сайт, чтобы он не был отмечен красным ».
3. Взлом веб-сайта
Около 9% сообщений с просьбой о помощи ищут человека, способного взломать веб-сайты. Злоумышленники обычно хотят получить доступ, чтобы украсть конфиденциальную информацию, обнаруженную на серверной части веб-сайта. Сюда могут входить данные клиента, исполнительные данные или информация о кредитной карте. Злоумышленники, скорее всего, будут нацелены на веб-сайты, которые, по их мнению, имеют более низкие стандарты безопасности:
«Я ищу профессионального хакера для сайта без надежной защиты.
Нужно вытащить базу клиентов.
Сайты нужной мне темы не очень защищены».
Серверные базы данных обычно являются основными целями злоумышленников. Имея доступ к этим данным, злоумышленники могут перепродавать информацию с целью получения быстрой прибыли.
«Я ищу людей, которые имеют опыт работы в сфере интернет-безопасности.
Ищу людей, которые умеют выгружать базы данных с сайтов.
Я смогу быстро и эффективно превратить ваши свалки в деньги.
Я не буду делиться вашими дампами, не буду их выпускать, и никто не узнает о их существовании.
Если вы докажете, что способны, я покажу вам, что я с ними делаю.
Я могу поставить вам цели, или мы можем работать с тем, что вы имеете / получаете».
4. Взлом электронной почты
Еще 3% сообщений с просьбой о помощи ищут хакеров, которые могут украсть учетные данные электронной почты. Имея доступ к учетным данным электронной почты, злоумышленники могут выполнять различные задачи. Например, имея доступ к надежной учетной записи электронной почты, злоумышленник может организовать более убедительную фишинговую атаку. Они также могут использовать учетную запись для доступа к конфиденциальной корпоративной или личной информации. Наконец, в худшем случае со взломанной учетной записью корпоративной электронной почты c-suite злоумышленник может использовать учетную запись для авторизации денежных переводов на свои собственные счета.
«Мне нужен взлом электронной почты домена или возможность получить доступ к почтовому ящику в определенном домене, если это возможно.
В худшем случае мне нужно получить доступ к домену.
Рассмотрю любые предложения.
Заказы будут поступать с периодической периодичностью».
5. Взлом шифрования
Около 2% сообщений с просьбой о помощи привлекают злоумышленников для взлома зашифрованных баз данных и документов. Даже если злоумышленник успешно украл конфиденциальную информацию у человека или компании, необработанные данные могут быть недоступны из-за шифрования или защиты паролем. Следовательно, злоумышленник должен будет обратиться к хакеру, умеющему взламывать эти базы данных. Самые элитные из этих хакеров могут предоставить специализированное оборудование для обработки тысяч различных ключей дешифрования за короткое время:
«Расшифровка хэшей и дампов.
Предлагаем вам расшифровку ваших дампов.
Берем большой список алгоритмов.
Суммарная емкость более 60 видеокарт составляет 1080ти».
6. Парсинг веб-страниц.
Наконец, чуть менее 5% объявлений о вакансиях ищут человека для разработки программ-парсеров . Веб-скрапинг - это процесс сбора больших объемов данных с веб-сайта, обычно с помощью автоматизированной программы, с последующим сохранением в базе данных. Хотя веб-скрапинг по своей сути не является вредоносной деятельностью, киберпреступники будут очищать десятки веб-сайтов в поисках учетных данных и другой конфиденциальной информации , которую затем можно перепродать с целью получения прибыли.
На форуме хакеров даркнета, который мы исследовали, злоумышленники искали людей для разработки и запуска этих парсеров.
«Мне нужен кодировщик для написания нестандартного программного обеспечения.
Краткая информация:
Должна быть премьерная панель, где я мог бы добавлять URL-адреса, учетные данные и учетные записи прокси.
Затем программное обеспечение будет переходить по каждому URL-адресу с этими учетными данными с помощью прокси-сервера.
Он открывал определенные разделы, запускал поиск и собирал электронные письма, открывая файлы резюме.
Электронные письма будут храниться в файле, который я затем могу загрузить локально.
Работа начинается от 150 долларов с потолком около 500 долларов.
Цена будет зависеть от того, как все будет выполнено.
Мы можем обсудить цену.
Нам нужен человек, который готов приступить к работе как можно скорее и сделает все возможное».
В некоторых случаях профессиональный разработчик даже не нужен, так как злоумышленник может уже иметь доступ к необходимым инструментам. Таким образом, остается лишь передать утомительную работу соскабливания на аутсорсинг любому, кто захочет взять на себя эту работу:
«Ищу исполнителя, знания студента тоже пойдут. Доброго времени суток, ищу человека, которому нужна работа на постоянной основе. Знаний ноль, нужно будет ходить по гуглу и собирать нужные мне сайты. Еженедельная выплата 350 у.е. =) Для кого у меня полная занятость, пишите в контакты в подписи, деньги в поручителя скину или оплату по факту проделанной работы). И да, прошу не делать пишите людям с регой этого года, без обид, но к таким людям мало верят). Жду смельчака, если результат меня устроит, то оплата увеличится!» (идентификатор потока: 172863)
Заключение
Объявления о вакансиях на большом частном российском хакерском форуме в даркнете дают представление об угрозах, с которыми сталкивается большинство компаний и, вероятно, столкнутся с ними в ближайшем будущем. В частности, мы выделили 4 тенденции, о которых стоит помнить специалистам по безопасности.
- В кибербезопасности нет серебряных пуль. Инструменты безопасности (антивирус, системы обнаружения конечных точек и реагирования), особенно основанные на обнаружении сигнатур, вероятно, будут предлагать лишь ограниченную защиту от злоумышленников, действующих на частных российских форумах. Во многих прочитанных нами объявлениях о вакансиях обсуждались требования наличия специального вредоносного ПО или настраиваемого фишингового сайта, которые гораздо труднее обнаружить. Инструменты, основанные на поведении, могут обеспечить более высокий уровень безопасности, но им по-прежнему будут препятствовать многие вредоносные программы. Решением этой проблемы является увеличение числа семинаров по обучению сотрудников, чтобы они могли легко обнаруживать спам и подозрительные файлы и сообщать о них группам безопасности.
- Данные - самый ценный ресурс в 21 веке, и злоумышленники делают все возможное, чтобы их украсть. Наш анализ показывает, что шифрование конфиденциальной и конфиденциальной информации - это всего лишь необходимый первый шаг, поскольку злоумышленники могут арендовать массивные сети серверов для взлома, чтобы взломать шифрование. Надежные пароли и алгоритмы шифрования обеспечивают хороший первый уровень защиты. Системы обнаружения вторжений и тщательный мониторинг кражи данных также важны для обнаружения нарушений, прежде чем у них появится возможность утечки всех баз данных. Использование цифровых сервисов предотвращения рисков, таких как Flare Systems, также может помочь вашей фирме обнаруживать утечки за считанные минуты или дни, а не месяцы. Это может предотвратить утечку. Средняя стоимость утечки данных - 4 миллиона долларов США.
- Злоумышленники всегда ищут информацию из открытых источников, которую можно использовать для атак на фирмы. Их интерес к веб-парсингу и сбору контактной информации показывает, что злоумышленники организованы и выстроили длинную цепочку поставок, чтобы обеспечить успех своих атак . Фирмы должны гарантировать, что они контролируют свою информацию, которая публикуется либо на корпоративных серверах, либо на личных страницах их сотрудников. Любая утечка может предоставить информацию, необходимую для успешного захвата аккаунта.
- Наконец, учетные записи электронной почты являются очень ценной целью для злоумышленников. Брейн Кребс проницательно оценивает ценность взломанной учетной записи электронной почты. Учетные записи электронной почты должны быть защищены с той же энергией и вниманием к деталям, что и основные корпоративные базы данных. Сотрудники также должны пройти соответствующее обучение, чтобы определять, была ли взломана их учетная запись электронной почты, чтобы сократить время на обнаружение киберугроз.
