Lord777
Professional
- Messages
- 2,579
- Reaction score
- 1,481
- Points
- 113
В атаках злоумышленники часто полагаются друг на друга. Кардинг кольцо, которое недавно было демонтировано российскими властями, например, привело к аресту 25 человек, которые работали вместе.
Просматривая популярные хакерские форумы, можно встретить сотни, если не тысячи, рекламных объявлений о различных хакерских инструментах и услугах . Однако извлечение информации из этих рекламных объявлений оказалось ограниченным по трем причинам:
Это не означает, что рекламу на форумах о взломах нельзя использовать для разведки вашей компании. Действительно, злоумышленники оставляют другие следы своей деятельности, которые могут помочь нам преодолеть вышеуказанные ограничения и профилировать наиболее популярные инструменты, которые используют злоумышленники. Эти данные чрезвычайно ценны, поскольку могут помочь вашим специалистам по безопасности понять, как злоумышленники будут атаковать вашу компанию, и направить вашу защиту в правильном направлении. Строительство стены может быть полезным для защиты от наземных атак, но что хорошего в этом против атаки с вертолета?
В этом сообщении блога мы исследуем новый источник информации, который более подробно раскрывает три самых популярных инструмента, покупаемых злоумышленниками. Мы рекомендуем группам безопасности уделять приоритетное внимание защите от этих угроз, поскольку они, вероятно, часто используются злоумышленниками.
Хакерские контракты как источник информации
Чуть более года назад крупнейший хакерский форум в Интернете запустил службу, призванную уменьшить трение и неопределенность, когда злоумышленники совершают сделки друг с другом. Эта услуга четко перечисляет стороны, участвующие в транзакции, их обязательства, результат транзакции и дату транзакции (см. пример ниже). Другими словами, на сайте ведется реестр договоров на оказание услуг.
Злоумышленники могут выбирать между публичными и частными контрактами. В частных контрактах публикуются только имена злоумышленников. В публичном контракте вся указанная выше информация является общедоступной.
Наш анализ основан только на государственных контрактах, которые составляют около 10% из 125 000 контрактов, опубликованных на момент сбора данных. Мы вручную классифицировали и закодировали условия государственных контрактов, чтобы понять, какие продукты продаются. Конечно, частные контракты могут использоваться для покупки и продажи различных видов продукции. Однако на момент написания не было доступного метода для расследования этих частных контрактов .
Хотя это лишь частичный обзор действий злоумышленников, понимание того, что делают эти инструменты и как они работают, является первым шагом к повышению кибербезопасности вашей компании.
Три самых популярных инструмента на продажу:
Массовые рассылки
Некоторые из наиболее популярных инструментов, приобретаемых злоумышленниками, известны как программы массовой рассылки. Эти специализированные программы специально разработаны для доставки сотен тысяч электронных писем за невероятно короткий промежуток времени.
На изображении ниже представлен самый простой интерфейс популярной программы массовой рассылки. Пользователь предоставляет программному обеспечению сервер, с которого отправляются электронные письма, список получателей, сообщение и некоторые параметры задержки для его работы. Индикатор статуса в нижней части экрана указывает статус кампании массовой рассылки. Навыки кодирования не требуются.
Из проанализированных контрактов на массовые рассылки пришлось 12% проданных инструментов. Эти инструменты обычно недороги, продаются по цене около 10 долларов США и продаются с ежемесячной лицензией. Это делает их относительно доступными для злоумышленников и, следовательно, представляют растущую угрозу. Отправка миллионов спам-писем - это первый шаг к успешной фишинг-атаке , распространенной форме злонамеренных действий. Фактически, с 2018 по 2019 год количество фишинговых атак выросло на 250%. Фишинг часто используется для распространения программ-вымогателей.
Боты для социальных сетей
Боты для аккаунтов в социальных сетях - невероятно популярные инструменты. По оценкам, сегодня 53% всех входов в учетные записи социальных сетей - это боты. Неудивительно, что боты составляют 30% всех инструментов, приобретаемых злоумышленниками. Эти инструменты позволяют злоумышленнику создавать множество поддельных учетных записей на различных платформах социальных сетей. Затем они могут использовать поддельные учетные записи для создания сотен лайков и подписчиков для одной основной учетной записи. Это придает основному аккаунту незаслуженный и мошеннический вид легитимности.
Приведенный выше пример показывает, что покупка ретвита из установленной учетной записи Twitter (более 1 миллиона подписчиков) стоит всего несколько долларов, а злоумышленники даже предлагают оптовые скидки.
За последние несколько лет эти боты привлекли к себе большое внимание средств массовой информации, в основном из-за их влияния на политику и социальную политику . Они также представляют несколько угроз для фирм. Во-первых, ботов можно использовать для распространения спама и фишинговых ссылок , как и массовые рассылки.
Во-вторых, по мере того как социальные сети становятся растущим центром электронной коммерции, боты могут служить фоном для развивающегося бизнеса. Боты могут публиковать фальшивые негативные отзывы или перенаправлять трафик с законных предприятий. В худшем случае ботов можно использовать для запуска атак типа «отказ в обслуживании» и удаления учетных записей электронной коммерции.
Android RAT
Реже приобретается в качестве инструмента, совершающего всего 3% транзакций, но особенно тревожным является преобладание инструментов удаленного администрирования (RAT) для телефонов Android. Используя эти инструменты, злоумышленник может получить почти полный доступ к мобильному телефону ничего не подозревающей жертвы. Это включает в себя доступ к SMS-сообщениям, электронной почте, а также к функциям микрофона и камеры устройства. На изображении ниже представлен исчерпывающий список возможностей современных Android RAT.
Злоумышленники рекламируют несколько методов заражения телефонов Android с помощью RAT. Популярные методы включают нажатие на ссылки Google Диска, полученные в фишинговом сообщении, и получение физического доступа к телефону жертвы. Android RAT обычно сдают в аренду на ежемесячной основе всего за 12 долларов США в месяц или предлагают пожизненно за 150 долларов США.
Заключение
Понимание рыночной динамики преступного подполья имеет решающее значение для понимания того, какие угрозы в настоящее время могут быть нацелены на вашу фирму . Поскольку некоторые инструменты и методы вышли из моды, в основном из-за повышения кибербезопасности, популярность других заняла их место. Глядя на активность злоумышленников на крупном незаконном рынке, мы видим, что спам, манипуляции с социальными сетями и RAT Android остаются очень популярными. Признание этой динамики может помочь вашим группам безопасности лучше распределять свои ресурсы там, где это необходимо.
Для устранения трех описанных выше угроз компаниям рекомендуется:
Приложение: виртуальные частные серверы и доступ к удаленному рабочему столу
Важным инструментом для злоумышленников являются виртуальные частные серверы, хотя они не связаны с конкретной угрозой. Виртуальные частные серверы используются по разным причинам, включая размещение мошеннических веб-сайтов. Реклама ниже четко говорится о том, что хостинг позволяет «все, кроме детской порнографии и терроризма»Bulletproof означает, что владелец сдаваемых в аренду виртуальных частных серверов не будет отключен, если против них будет подана жалоба.
Другими выделенными потенциальными вариантами использования виртуальных частных серверов являются запуск атак типа «отказ в обслуживании» (загрузчик ddos), атаки на страницы входа (брутфорс) и рассылка спама (массовая рассылка электронной почты).
Покупка услуги веб-хостинга у другого злоумышленника также обещает определенную степень конфиденциальности и безопасности. На самом деле нет никаких платежей по кредитным картам, которые можно было бы отследить до злоумышленника, и хостинг-провайдер, вероятно, обеспечит, чтобы серверы оставались в сети как можно дольше.
Тесно связанная угроза - это продажа учетных данных для доступа к удаленному рабочему столу. Они позволяют злоумышленникам удаленно входить в личные и корпоративные компьютеры. По данным Федерального бюро расследований США (ФБР), количество подобных атак резко возросло с 2020 года. Как только злоумышленник попадает на рабочий стол в вашей корпоративной сети, он может получить беспрепятственный доступ к любому файлу или другим сетям, к которым у конечного пользователя был доступ.
С увеличением количества сотрудников, работающих из дома и имеющих удаленный доступ к корпоративным сетям в свете глобальной пандемии, использование этих инструментов, вероятно, будет только расти. Учитывая , что эти удаленные сети были выкатили быстро, оплошности безопасности также более вероятны. Применение передовых методов обеспечения безопасности, таких как использование Google BeyondCorp и многофакторной аутентификации, может значительно укрепить вашу компанию против злоупотреблений системой удаленных рабочих столов.
flare.systems
Просматривая популярные хакерские форумы, можно встретить сотни, если не тысячи, рекламных объявлений о различных хакерских инструментах и услугах . Однако извлечение информации из этих рекламных объявлений оказалось ограниченным по трем причинам:
- Если продукт куплен, невозможно сказать, действительно ли он выполняет то, что рекламируется.
- Тот факт, что продукт предлагается, не означает, что он действительно покупается.
- Невозможно полностью узнать природу каждой транзакции, поскольку переговоры между злоумышленниками происходят конфиденциально в Discord, XMPP и даже Skype (см. ниже).
Это не означает, что рекламу на форумах о взломах нельзя использовать для разведки вашей компании. Действительно, злоумышленники оставляют другие следы своей деятельности, которые могут помочь нам преодолеть вышеуказанные ограничения и профилировать наиболее популярные инструменты, которые используют злоумышленники. Эти данные чрезвычайно ценны, поскольку могут помочь вашим специалистам по безопасности понять, как злоумышленники будут атаковать вашу компанию, и направить вашу защиту в правильном направлении. Строительство стены может быть полезным для защиты от наземных атак, но что хорошего в этом против атаки с вертолета?
В этом сообщении блога мы исследуем новый источник информации, который более подробно раскрывает три самых популярных инструмента, покупаемых злоумышленниками. Мы рекомендуем группам безопасности уделять приоритетное внимание защите от этих угроз, поскольку они, вероятно, часто используются злоумышленниками.
Хакерские контракты как источник информации
Чуть более года назад крупнейший хакерский форум в Интернете запустил службу, призванную уменьшить трение и неопределенность, когда злоумышленники совершают сделки друг с другом. Эта услуга четко перечисляет стороны, участвующие в транзакции, их обязательства, результат транзакции и дату транзакции (см. пример ниже). Другими словами, на сайте ведется реестр договоров на оказание услуг.
Злоумышленники могут выбирать между публичными и частными контрактами. В частных контрактах публикуются только имена злоумышленников. В публичном контракте вся указанная выше информация является общедоступной.
Наш анализ основан только на государственных контрактах, которые составляют около 10% из 125 000 контрактов, опубликованных на момент сбора данных. Мы вручную классифицировали и закодировали условия государственных контрактов, чтобы понять, какие продукты продаются. Конечно, частные контракты могут использоваться для покупки и продажи различных видов продукции. Однако на момент написания не было доступного метода для расследования этих частных контрактов .
Хотя это лишь частичный обзор действий злоумышленников, понимание того, что делают эти инструменты и как они работают, является первым шагом к повышению кибербезопасности вашей компании.
Три самых популярных инструмента на продажу:
- Массовые рассылки
- Боты социальных сетей
- Android RAT
Массовые рассылки
Некоторые из наиболее популярных инструментов, приобретаемых злоумышленниками, известны как программы массовой рассылки. Эти специализированные программы специально разработаны для доставки сотен тысяч электронных писем за невероятно короткий промежуток времени.
На изображении ниже представлен самый простой интерфейс популярной программы массовой рассылки. Пользователь предоставляет программному обеспечению сервер, с которого отправляются электронные письма, список получателей, сообщение и некоторые параметры задержки для его работы. Индикатор статуса в нижней части экрана указывает статус кампании массовой рассылки. Навыки кодирования не требуются.
Из проанализированных контрактов на массовые рассылки пришлось 12% проданных инструментов. Эти инструменты обычно недороги, продаются по цене около 10 долларов США и продаются с ежемесячной лицензией. Это делает их относительно доступными для злоумышленников и, следовательно, представляют растущую угрозу. Отправка миллионов спам-писем - это первый шаг к успешной фишинг-атаке , распространенной форме злонамеренных действий. Фактически, с 2018 по 2019 год количество фишинговых атак выросло на 250%. Фишинг часто используется для распространения программ-вымогателей.
Боты для социальных сетей
Боты для аккаунтов в социальных сетях - невероятно популярные инструменты. По оценкам, сегодня 53% всех входов в учетные записи социальных сетей - это боты. Неудивительно, что боты составляют 30% всех инструментов, приобретаемых злоумышленниками. Эти инструменты позволяют злоумышленнику создавать множество поддельных учетных записей на различных платформах социальных сетей. Затем они могут использовать поддельные учетные записи для создания сотен лайков и подписчиков для одной основной учетной записи. Это придает основному аккаунту незаслуженный и мошеннический вид легитимности.
Приведенный выше пример показывает, что покупка ретвита из установленной учетной записи Twitter (более 1 миллиона подписчиков) стоит всего несколько долларов, а злоумышленники даже предлагают оптовые скидки.
За последние несколько лет эти боты привлекли к себе большое внимание средств массовой информации, в основном из-за их влияния на политику и социальную политику . Они также представляют несколько угроз для фирм. Во-первых, ботов можно использовать для распространения спама и фишинговых ссылок , как и массовые рассылки.
Во-вторых, по мере того как социальные сети становятся растущим центром электронной коммерции, боты могут служить фоном для развивающегося бизнеса. Боты могут публиковать фальшивые негативные отзывы или перенаправлять трафик с законных предприятий. В худшем случае ботов можно использовать для запуска атак типа «отказ в обслуживании» и удаления учетных записей электронной коммерции.
Android RAT
Реже приобретается в качестве инструмента, совершающего всего 3% транзакций, но особенно тревожным является преобладание инструментов удаленного администрирования (RAT) для телефонов Android. Используя эти инструменты, злоумышленник может получить почти полный доступ к мобильному телефону ничего не подозревающей жертвы. Это включает в себя доступ к SMS-сообщениям, электронной почте, а также к функциям микрофона и камеры устройства. На изображении ниже представлен исчерпывающий список возможностей современных Android RAT.
Злоумышленники рекламируют несколько методов заражения телефонов Android с помощью RAT. Популярные методы включают нажатие на ссылки Google Диска, полученные в фишинговом сообщении, и получение физического доступа к телефону жертвы. Android RAT обычно сдают в аренду на ежемесячной основе всего за 12 долларов США в месяц или предлагают пожизненно за 150 долларов США.
Заключение
Понимание рыночной динамики преступного подполья имеет решающее значение для понимания того, какие угрозы в настоящее время могут быть нацелены на вашу фирму . Поскольку некоторые инструменты и методы вышли из моды, в основном из-за повышения кибербезопасности, популярность других заняла их место. Глядя на активность злоумышленников на крупном незаконном рынке, мы видим, что спам, манипуляции с социальными сетями и RAT Android остаются очень популярными. Признание этой динамики может помочь вашим группам безопасности лучше распределять свои ресурсы там, где это необходимо.
Для устранения трех описанных выше угроз компаниям рекомендуется:
- Предложите обязательное обучение, чтобы повысить способность сотрудников обнаруживать спам-сообщения. ИТ-отделы также должны рекомендовать сотрудникам отмечать любые подозрительные сообщения, чтобы помочь обнаружить любую новую угрозу.
- Отслеживайте упоминания бренда в социальных сетях, чтобы обнаруживать поддельные сообщения и фишинговые сайты. Компаниям также следует использовать профессиональные услуги для выявления аккаунтов своих партнеров, которые могут покупать поддельных подписчиков.
- Установите антивирусное программное обеспечение на телефоны Android и обновляйте их программное обеспечение, чтобы предотвращать и обнаруживать активность RAT.
Приложение: виртуальные частные серверы и доступ к удаленному рабочему столу
Важным инструментом для злоумышленников являются виртуальные частные серверы, хотя они не связаны с конкретной угрозой. Виртуальные частные серверы используются по разным причинам, включая размещение мошеннических веб-сайтов. Реклама ниже четко говорится о том, что хостинг позволяет «все, кроме детской порнографии и терроризма»Bulletproof означает, что владелец сдаваемых в аренду виртуальных частных серверов не будет отключен, если против них будет подана жалоба.
Другими выделенными потенциальными вариантами использования виртуальных частных серверов являются запуск атак типа «отказ в обслуживании» (загрузчик ddos), атаки на страницы входа (брутфорс) и рассылка спама (массовая рассылка электронной почты).
Покупка услуги веб-хостинга у другого злоумышленника также обещает определенную степень конфиденциальности и безопасности. На самом деле нет никаких платежей по кредитным картам, которые можно было бы отследить до злоумышленника, и хостинг-провайдер, вероятно, обеспечит, чтобы серверы оставались в сети как можно дольше.
Тесно связанная угроза - это продажа учетных данных для доступа к удаленному рабочему столу. Они позволяют злоумышленникам удаленно входить в личные и корпоративные компьютеры. По данным Федерального бюро расследований США (ФБР), количество подобных атак резко возросло с 2020 года. Как только злоумышленник попадает на рабочий стол в вашей корпоративной сети, он может получить беспрепятственный доступ к любому файлу или другим сетям, к которым у конечного пользователя был доступ.
С увеличением количества сотрудников, работающих из дома и имеющих удаленный доступ к корпоративным сетям в свете глобальной пандемии, использование этих инструментов, вероятно, будет только расти. Учитывая , что эти удаленные сети были выкатили быстро, оплошности безопасности также более вероятны. Применение передовых методов обеспечения безопасности, таких как использование Google BeyondCorp и многофакторной аутентификации, может значительно укрепить вашу компанию против злоупотреблений системой удаленных рабочих столов.
flare.systems
