Вторичный сегмент утекших данных создает новые киберугрозы

Эксперты Positive Technologies выявили заметный тенденция на теневых площадках: киберпреступники массово перепродают старые утечки, выдавая их за результаты новых взломов. Вокруг давно опубликованных баз формируется полноценная экономика с собственными правилами и участниками. Такая тренд создает дополнительные риски для организаций, данные которых оказалась скомпрометирована.

Исследование Positive Technologies показало, что на теневом рынке сложилась платформа повторной монетизации устаревших утечек. Киберпреступники находят базы данных, которые были опубликованы несколько месяцев или даже лет назад. Затем они выставляют их на продажу, сопровождая громкими заявлениями о компрометации конкретных компаний. Некоторые участники теневого сообщества не проверяют происхождение баз и готовы платить за информацию, которая уже находится в свободном доступе. Одновременно стоимость одного набора данных может достигать нескольких тысяч долларов.

Характерным примером стала активность группировки RED EYES. В январе киберпреступники объявили о взломе саудовской платформы Yamm и выставили информация на продажу. Однако формат записей, объем информации и другие признаки полностью совпадали с характеристиками базы, опубликованной еще в июле прошлого года. Аналогичная ситуация наблюдалась и с заявленным взломом компании Baran Company Limited: информация, представленные RED EYES как свежая утечка, в действительности были опубликованы несколькими месяцами ранее.

Интересно, что злоумышленники создают поддельные профили, в которых копируют стиль взаимодействия и дизайн сообщений узнаваемых группировок, например ShinyHunters и Babuk Locker. Их названия ассоциируются с крупными утечками, громкими заявлениями и атаками на известные компании, что повышает доверие аудитории теневых площадок и помогает мошенникам быстрее монетизировать данные. На форумах такие аккаунты, как правило, быстро блокируют благодаря системе репутации и внутреннего контроля. Поэтому ключевым каналом для формирования спроса на скомпрометированную информацию и для ее повторной продажи становятся мессенджеры.

По данным исследования, доходы от перепродажи старых баз могут быть весьма значительными. Один из администраторов канала с утечками заявил, что за месяц заработал приблизительно 130 тысяч долларов. Цифра демонстрирует, что вторичный сегмент утекших данных представляет собой полноценный бизнес с устойчивым спросом и высокой доходностью.

Повторная циркуляция старых баз в дарквебе создает для организаций серьезные риски безопасности. Даже если утечка произошла несколько лет назад, содержащаяся в ней данные может быть использована для подготовки фишинговых атак, компрометации или для первичной разведки. Кроме того, постоянное выход данных организации на теневых площадках поддерживает интерес злоумышленников, повышая вероятность новых атак. Это усложняет прогнозирование угроз и построение эффективной защиты.

Дмитрий Стрельцов, специалист группы международной аналитики Positive Technologies

Специалисты Positive Technologies рекомендуют компаниям не только уделять внимание текущим инцидентам, но и мониторить повторное выход утечек своих данных на теневых ресурсах. Немаловажно отслеживать и поведение игроков в дарквебе, так как это позволяет более точно оценивать риски и своевременно принимать защитные меры.