Man
Professional
- Messages
- 2,963
- Reaction score
- 486
- Points
- 83
Рост числа профессиональных преступных группировок, вредоносное ПО как услуга и улучшенная инфраструктура для осуществления преступной деятельности меняют темную паутину. Вот что это означает для безопасности предприятий.
В последнее время у участников даркнета появилось еще одно беспокойство: их поймали правоохранительные органы. Отслеживание незаконной деятельности в даркнете стало для властей игрой в кошки-мышки, но в итоге они часто ловят своих противников и изымают сомнительные деньги. Например, в ночь президентских выборов 2020 года чиновникам правительства США удалось опустошить биткоин-кошелек на 1 миллиард долларов, вернув средства, связанные с Silk Road, через семь лет после закрытия рынка. Silk Road был популярным подпольным рынком, на котором торговали нелегальными товарами и услугами, такими как наркотики, хакерство по найму и заказные убийства.
«В последние годы темная сеть претерпела существенные изменения, причем вполне органичные, из-за возросшего использования организованными преступными организациями анонимных форумов и торговых площадок, возросшего присутствия молодых «подражателей преступникам», вдохновленных YouTube, и, естественно, последующего усиления присутствия правоохранительных органов и их попыток внедриться, деанонимизировать и уничтожить такие группы и скрытые сервисы», — говорит Марк Тернедж, генеральный директор DarkOwl, поисковой системы в темной сети.
Turnage говорит, что DarkOwl увидел, как более технически подкованные преступники стали чаще использовать альтернативные децентрализованные темные сети и сети-сетки, такие как Lokinet и Yggdrasil. Он связывает это с коротким сроком жизни торговых площадок и сервисов темной сети через Tor и захватами серверов глобально координируемыми правоохранительными органами.
Перемещение торговых площадок с узлов Tor на службы личных сообщений также может иметь технические преимущества, такие как защита от распределенного отказа в обслуживании (DDoS). Эти технические меры безопасности могут привлечь администраторов темной паутины, поскольку подпольные торговые площадки, такие как Empire, были вынуждены закрыться после DDoS-атак других киберпреступников в довольно ироничных попытках вымогательства. Внезапный уход Empire также сделал ее так называемую гарантию «эскроу» недействительной, что побудило некоторых покровителей назвать закрытие «мошенничеством с выходом».
Переводя клиентов на законные сквозные зашифрованные службы обмена сообщениями, киберпреступники используют надежную распределенную инфраструктуру этих платформ, оставаясь при этом скрытными и избегая внимания правоохранительных органов. Конечно, платформы обмена сообщениями, такие как Telegram, не могут быть полностью защищены от DDoS-атак, поэтому защита от таких атак становится обязанностью владельцев платформ, а не темных веб-операторов.
«Сдвиги рынка сосредоточены на автоматизации и сервитизации [моделях подписки], направленных на содействие росту киберпреступного бизнеса в масштабах», — говорит Лаэб. «Как можно увидеть на примере экспоненциального роста атак с использованием программ-вымогателей, использующих подпольную финансовую экосистему, рынки киберпреступников позволяют субъектам беспрепятственно создавать цепочку поставок, которая поддерживает децентрализованные и эффективные киберпреступные вторжения, что дает злоумышленникам неотъемлемое преимущество».
С другой стороны, специалисты по безопасности и аналитики угроз могут использовать эту информацию для выявления и устранения слабых мест в системе до того, как ими воспользуются злоумышленники. «Защитники могут использовать эти надежные и динамичные экосистемы, получая видимость внутренних механизмов подземной экосистемы, что позволяет им отслеживать те же уязвимости, риски и компрометации, которые будут использованы злоумышленниками, и устранять их до того, как они будут использованы», — говорит Лаэб.
Это можно сделать, отслеживая форумы и сайты даркнета, где, скорее всего, скрываются злоумышленники, обсуждают предстоящие угрозы и выставляют эксплойты на продажу. Например, недавно хакер опубликовал на форуме эксплойты для более чем 49 000 уязвимых VPN Fortinet, некоторые из которых принадлежали известным телекоммуникационным компаниям, банкам и правительственным организациям. За этим последовал второй пост на форуме, в котором другой злоумышленник раскрыл текстовые учетные данные для всех устройств VPN, чтобы любой злоумышленник мог их использовать. Хотя рассматриваемая уязвимость представляет собой двухлетнюю ошибку обхода пути, которая, вероятно, больше не находится ни у кого на радаре, тысячи корпоративных VPN, представленных в списке, по-прежнему уязвимы для этой критической проблемы.
Использование таких форумов и мониторинг таких разведданных может дать службам безопасности организаций информацию, позволяющую им проявить должную осмотрительность и определить, куда в следующий раз могут направиться злоумышленники.
«С начала 2020 года использование SSH этими APT-группами возросло более чем на 200%. Наши исследования показали, что APT-группы используют SSH через порт 22, чтобы незаметно проникать в организации, и, оказавшись внутри, используют плохо контролируемые и обслуживаемые системы, особенно промышленные системы управления, для кражи значительных объемов данных. Предполагается, что в результате нескольких недавних атак было украдено более 1 терабайта данных у отдельных предприятий, огромный объем, который организации не могут обнаружить, поскольку они не могут эффективно отслеживать соединения в даркнете», — говорит Уоррингтон.
Этот момент был подтвержден обнаружением в прошлом месяце масштабной атаки на цепочку поставок SolarWinds, приписываемой российской шпионской группе APT29, также известной как Cozy Bear. Эксплуатируя доверие в рамках законной программы, такой как SolarWinds Orion, и ее защищенных каналов обновления (или протоколов), изощренные злоумышленники сумели незаметно взломать более 18 000 из 300 000 клиентов SolarWinds и оставались незамеченными в течение месяцев. Их зловещие действия, проведенные в рамках этой атаки, могли включать скрытое наблюдение и кражу данных, не оставляющую очевидных следов.
Это отличается от случаев, когда злоумышленники шумят на публичных форумах или форумах даркнета, сливая дампы данных. Поэтому одного только мониторинга даркнета на предмет признаков утечки данных недостаточно.
Поэтому аналитикам угроз и исследователям безопасности рекомендуется пересмотреть свои стратегии мониторинга. Вместо того чтобы сосредоточиться исключительно на обнаружении аномалий в корпоративных сетях, таких как иностранные IP-адреса и странные номера портов, или ждать появления конфиденциальных данных в темной паутине, стоит отслеживать надежные программы и службы, включая их обновления безопасности, а также цепочки поставок программного обеспечения вашей организации, где могут скрываться незамеченными субъекты угроз.
Источник
В последнее время у участников даркнета появилось еще одно беспокойство: их поймали правоохранительные органы. Отслеживание незаконной деятельности в даркнете стало для властей игрой в кошки-мышки, но в итоге они часто ловят своих противников и изымают сомнительные деньги. Например, в ночь президентских выборов 2020 года чиновникам правительства США удалось опустошить биткоин-кошелек на 1 миллиард долларов, вернув средства, связанные с Silk Road, через семь лет после закрытия рынка. Silk Road был популярным подпольным рынком, на котором торговали нелегальными товарами и услугами, такими как наркотики, хакерство по найму и заказные убийства.
Закрытие киберпреступных групп и мошенничество с выходом из них
Подобные события вынуждают киберпреступников разрабатывать новые стратегии, которые иногда включают закрытие магазина и обналичивание денег до того, как они попадут на радары федералов. В октябре 2020 года группа вымогателей Maze, которая взломала сотни компаний, включая Xerox, LG и Canon, прекратила свою деятельность в течение шести недель, заявив, что они прекратили свою деятельность. Однако эксперты предполагают, что это, скорее всего, фасад. Операторы вымогателей часто закрывают одну операцию, чтобы присоединиться к другой, а не полностью выходят из бизнеса.«В последние годы темная сеть претерпела существенные изменения, причем вполне органичные, из-за возросшего использования организованными преступными организациями анонимных форумов и торговых площадок, возросшего присутствия молодых «подражателей преступникам», вдохновленных YouTube, и, естественно, последующего усиления присутствия правоохранительных органов и их попыток внедриться, деанонимизировать и уничтожить такие группы и скрытые сервисы», — говорит Марк Тернедж, генеральный директор DarkOwl, поисковой системы в темной сети.
Даркнет становится каналом вербовки
По словам Тернейджа, темная паутина превратилась в промежуточную площадку, где киберпреступники минимально взаимодействуют, чтобы переманить новых членов для своей группы. Затем они переводят общение на закрытые, зашифрованные каналы, такие как Telegram, Jabber и WickR. «Разработчики вредоносных программ и финансовые мошенники [преступники] меньше полагаются на торговые площадки темной паутины для распространения своих эксплойтов, а вместо этого используют форумы черных хакеров в глубокой паутине и темной паутине, чтобы создать свой бренд, развить влияние в сообществе и набрать новых членов», — говорит Тернейдж. «Многие преступные организации используют темную паутину просто для проверки потенциальных партнеров, особенно в индустрии программ-вымогателей как услуг, и их [сообщников]».Turnage говорит, что DarkOwl увидел, как более технически подкованные преступники стали чаще использовать альтернативные децентрализованные темные сети и сети-сетки, такие как Lokinet и Yggdrasil. Он связывает это с коротким сроком жизни торговых площадок и сервисов темной сети через Tor и захватами серверов глобально координируемыми правоохранительными органами.
Перемещение торговых площадок с узлов Tor на службы личных сообщений также может иметь технические преимущества, такие как защита от распределенного отказа в обслуживании (DDoS). Эти технические меры безопасности могут привлечь администраторов темной паутины, поскольку подпольные торговые площадки, такие как Empire, были вынуждены закрыться после DDoS-атак других киберпреступников в довольно ироничных попытках вымогательства. Внезапный уход Empire также сделал ее так называемую гарантию «эскроу» недействительной, что побудило некоторых покровителей назвать закрытие «мошенничеством с выходом».
Переводя клиентов на законные сквозные зашифрованные службы обмена сообщениями, киберпреступники используют надежную распределенную инфраструктуру этих платформ, оставаясь при этом скрытными и избегая внимания правоохранительных органов. Конечно, платформы обмена сообщениями, такие как Telegram, не могут быть полностью защищены от DDoS-атак, поэтому защита от таких атак становится обязанностью владельцев платформ, а не темных веб-операторов.
Использование подпольных разговоров для сбора разведывательной информации
По словам Равида Лаеба, менеджера по продукции в KELA, сегодняшняя темная паутина представляет собой широкий спектр товаров и услуг. Хотя традиционно она была сосредоточена на форумах, общение и транзакции в темной паутине переместились в другие среды, включая платформы обмена мгновенными сообщениями, автоматизированные магазины и закрытые сообщества. Злоумышленники обмениваются скрытыми разведданными о скомпрометированных сетях, украденных данных, утекших базах данных и других монетизируемых продуктах киберпреступности через эти среды.«Сдвиги рынка сосредоточены на автоматизации и сервитизации [моделях подписки], направленных на содействие росту киберпреступного бизнеса в масштабах», — говорит Лаэб. «Как можно увидеть на примере экспоненциального роста атак с использованием программ-вымогателей, использующих подпольную финансовую экосистему, рынки киберпреступников позволяют субъектам беспрепятственно создавать цепочку поставок, которая поддерживает децентрализованные и эффективные киберпреступные вторжения, что дает злоумышленникам неотъемлемое преимущество».
С другой стороны, специалисты по безопасности и аналитики угроз могут использовать эту информацию для выявления и устранения слабых мест в системе до того, как ими воспользуются злоумышленники. «Защитники могут использовать эти надежные и динамичные экосистемы, получая видимость внутренних механизмов подземной экосистемы, что позволяет им отслеживать те же уязвимости, риски и компрометации, которые будут использованы злоумышленниками, и устранять их до того, как они будут использованы», — говорит Лаэб.
Это можно сделать, отслеживая форумы и сайты даркнета, где, скорее всего, скрываются злоумышленники, обсуждают предстоящие угрозы и выставляют эксплойты на продажу. Например, недавно хакер опубликовал на форуме эксплойты для более чем 49 000 уязвимых VPN Fortinet, некоторые из которых принадлежали известным телекоммуникационным компаниям, банкам и правительственным организациям. За этим последовал второй пост на форуме, в котором другой злоумышленник раскрыл текстовые учетные данные для всех устройств VPN, чтобы любой злоумышленник мог их использовать. Хотя рассматриваемая уязвимость представляет собой двухлетнюю ошибку обхода пути, которая, вероятно, больше не находится ни у кого на радаре, тысячи корпоративных VPN, представленных в списке, по-прежнему уязвимы для этой критической проблемы.
Использование таких форумов и мониторинг таких разведданных может дать службам безопасности организаций информацию, позволяющую им проявить должную осмотрительность и определить, куда в следующий раз могут направиться злоумышленники.
Отслеживание незаконной деятельности, замаскированной под легальные программы
Группы Advanced Permanent Threat (APT) теперь используют Dark Web для сбора информации о своих целях, а затем используют легитимные сетевые протоколы и программы для скрытого извлечения данных. «Раньше организации, как правило, беспокоились только о том, что их собственные данные появляются в Dark Web, и даже в этом случае это звонило в колокола тревоги только в случае обнаружения важных данных. Однако многие из поддерживаемых государством Китая и России групп Advanced Permanent Threat теперь используют Dark Net для разведки потенциальных целей, а затем обеспечивают прикрытие для извлечения данных», — говорит Винс Уоррингтон, генеральный директор Dark Intelligence.«С начала 2020 года использование SSH этими APT-группами возросло более чем на 200%. Наши исследования показали, что APT-группы используют SSH через порт 22, чтобы незаметно проникать в организации, и, оказавшись внутри, используют плохо контролируемые и обслуживаемые системы, особенно промышленные системы управления, для кражи значительных объемов данных. Предполагается, что в результате нескольких недавних атак было украдено более 1 терабайта данных у отдельных предприятий, огромный объем, который организации не могут обнаружить, поскольку они не могут эффективно отслеживать соединения в даркнете», — говорит Уоррингтон.
Этот момент был подтвержден обнаружением в прошлом месяце масштабной атаки на цепочку поставок SolarWinds, приписываемой российской шпионской группе APT29, также известной как Cozy Bear. Эксплуатируя доверие в рамках законной программы, такой как SolarWinds Orion, и ее защищенных каналов обновления (или протоколов), изощренные злоумышленники сумели незаметно взломать более 18 000 из 300 000 клиентов SolarWinds и оставались незамеченными в течение месяцев. Их зловещие действия, проведенные в рамках этой атаки, могли включать скрытое наблюдение и кражу данных, не оставляющую очевидных следов.
Это отличается от случаев, когда злоумышленники шумят на публичных форумах или форумах даркнета, сливая дампы данных. Поэтому одного только мониторинга даркнета на предмет признаков утечки данных недостаточно.
Поэтому аналитикам угроз и исследователям безопасности рекомендуется пересмотреть свои стратегии мониторинга. Вместо того чтобы сосредоточиться исключительно на обнаружении аномалий в корпоративных сетях, таких как иностранные IP-адреса и странные номера портов, или ждать появления конфиденциальных данных в темной паутине, стоит отслеживать надежные программы и службы, включая их обновления безопасности, а также цепочки поставок программного обеспечения вашей организации, где могут скрываться незамеченными субъекты угроз.
Источник
