Все отрасли
Киберугрозы/инциденты

Рынок киберпреступных услуг в Бразилии

Дарья Лаврова

Дарья Лаврова

Старший аналитик группы международной аналитики PT Cyber Analytics

Об исследовании

Бразилия является крупнейшей экономикой и одной из наиболее влиятельных стран Латинской Америки. Ключевые экономические отрасли — автомобилестроение, нефтехимическая и металлургическая промышленность, сельское хозяйство и др. — претерпевают цифровую трансформацию, что, с одной стороны, оптимизирует ключевые отраслевые процессы, а с другой — открывает новые возможности для реализации киберугроз злоумышленниками.

Исследование сосредоточено на теневых рынках киберпреступных услуг, затрагивающих государственные и частные организации Бразилии и ее жителей.

Цели исследования:

  • проанализировать цифровой ландшафт страны и выделить ключевые направления его развития;

  • охарактеризовать текущий ландшафт киберугроз с учетом цифровой грамотности населения, нормативных документов и принятых организационно-технических мер по кибербезопасности, а также наблюдаемых трендов при реализации кибератак;

  • исследовать ряд крупнейших теневых ресурсов относительно объявлений, затрагивающих организации и частных лиц Бразилии, выделить тенденции и закономерности, характерные для страны;

  • спрогнозировать тренды и тенденции теневого рынка для Бразилии;

  • предложить рекомендации по обеспечению кибербезопасности для государства и бизнеса.

В ходе исследования было проанализировано девять наиболее популярных теневых форумов и свыше 400 телеграм-каналов. В выборку попали крупнейшие разноязычные теневые площадки различной тематики. Для исследования рассматривался период с 01.01.2024 по 01.04.2025.

Сообщения анализировались по следующим категориям:

  • База данных — утечки, содержащие персональные данные, учетные данные пользователей, конфиденциальную документацию компаний.

  • Доступ — данные для несанкционированного доступа к устройству или сервису в инфраструктуре компании.

  • Уязвимость — уязвимости и эксплойты.

  • Кардинг — информация о банковских картах.

  • Ransomware — сообщения хакерских группировок об успешных атаках с использованием программ-вымогателей (шифровальщиков).

  • DDоS — сообщения хакерских группировок об успешных DDoS-атаках.

  • Дефейс — сообщения хакерских группировок об успешном проведении атаки с изменением главной веб-страницы.

Резюме

  • Бразилия — ключевая страна Латинской Америки, обладающая крупнейшей экономикой и активно внедряющая цифровые услуги и решения во все сферы деятельности. Цифровая трансформация, затрагивающая государственные органы, промышленность, финансы, медицину и пр. повышает заинтересованность киберпреступников в реализации атак, цели которых варьируются от завоевания авторитета в теневом сообществе до монетизации скомпрометированных данных и полученных доступов на теневых форумах.

  • Бум инвестиций и высокий темп развития наблюдаются на рынках информационных технологий, центров обработки данных и облачных вычислений, биометрических, коммуникационных и сетевых технологий, а также криптовалюты. Совокупно эта динамика подчеркивает активную цифровизацию отраслей, перенос больших объемов данных в цифровую среду. В стране активно создаются и используются государственные цифровые сервисы, от федерального до муниципального уровня.

  • Бразилия входит в число основных целей в мире для кибератак и финансового мошенничества. Так, в 2023–2024 гг. на бразильские организации пришлась почти пятая часть (19%) всех кибератак региона. Ландшафт киберугроз Бразилии на сегодняшний день характеризуется преобладающей долей (26%) кибератак на госучреждения, недостаточным уровнем цифровой грамотности населения и нехваткой квалифицированных кадров. Сочетание этих проблем со стремительным внедрением технологий открывает злоумышленникам все больше возможностей для реализации киберугроз.

  • Высокая доля успешных кибератак на госсектор Бразилии стабильно наблюдается по результатам анализа не только общедоступных данных, но и данных теневых форумов. Госучреждения входят в тройку лидеров как по объявлениям, касающимся раздачи/продажи БД и доступов, так и по объявлениям об успешных атаках, в том числе дефейсах сайтов госорганизаций. Характер объявлений позволяет предположить активную деятельность хактивистов, а также реализацию имиджевых кампаний злоумышленниками, которые стремятся к завоеванию авторитета на рынке киберпреступных услуг.

  • Для всей Латинской Америки ключевым последствием успешных кибератак на организации остается утечка конфиденциальной информации (53% на 2024 год), что характерно и для Бразилии. Согласно анализу крупнейших теневых форумов, чаще всего в объявлениях упоминаются комбо-листы1 (от англ. combo lists), вместе с тем заметна тенденция к продаже отсканированных документов (паспортов, водительских удостоверений) в сочетании с селфи-фото и видео, часто используемыми для верификации аккаунтов. В сочетании с активным инвестированием в бразильские биометрические разработки такая тенденция может свидетельствовать о будущих кибератаках, нацеленных на обход биометрических систем и реализацию таргетированного фишинга.

  • Общемировая тенденция для теневых рынков, состоящая в укреплении сервисной модели, наблюдается и в отношении Бразилии. Среди услуг, упрощающих реализацию кибератак для пользователей с недостаточным уровнем знаний, отмечаются сервисы для реализации фишинговых атак, перехвата SMS-сообщений, получения доступа к подпискам на популярные мультимедийные сервисы (Netflix, Spotify), аренды серверов для анонимизации. Наблюдается также тенденция к разделению труда в киберпреступной среде. Преобладает доля объявлений о продаже доступов, получение которых открывает широкие возможности для воздействия на инфраструктуру компании-жертвы. Доступы, раздаваемые бесплатно, как правило, не несут особенной ценности и могут раздаваться из-за их ненужности добытчику или для огласки хактивистами и начинающими киберпреступниками своих возможностей.

  • Базы данных и комбо-листы вместе составляют преобладающую долю (38%) объявлений на теневых форумах, их соотношение примерно два к одному. Базы данных, как правило, содержат более ценную информацию по сравнению с комбо-листами, они могут содержать как учетные данные, так и важные документы. Стоимость баз данных зависит от уникальности информации и размеров компании, пострадавшей от утечки, и может варьироваться от сотен долларов до десятков тысяч. Однако и базы данных, и комбо-листы предоставляют информацию, значимую для реализации киберпреступниками первоначального этапа кибератаки, состоящего в разведке и использовании методов социальной инженерии.

  • Одна из наиболее популярных категорий объявлений в дарквебе — раздача и продажа доступов к различным системам, доля таких объявлений составляет 12%. Высокая стоимость (4000–70 000 $) ожидаемо наблюдается для промышленных компаний, поскольку шифрование данных приостанавливает все производственные процессы, что приводит к масштабным убыткам. Попадаются отдельные объявления о продаже доступов по более низкой цене (100—1000 $), однако они, как правило, имеют незначительную ценность (например, за 100 $ можно приобрести RMM-доступ к рабочему столу).

  • Для теневых рынков киберпреступных услуг следует ожидать продолжения укрепления сервисной модели, увеличения доли кардинга в силу активной цифровизации финансовой инфраструктуры страны, сохранения стабильно высокой доли кибератак на госучреждения, сопровождающихся продажей и раздачей доступов, баз данных и документов, а также объявлений о результатах успешных кибератак.

Рекомендации для государства, бизнеса и частных лиц в Бразилии заключаются в повышении уровня цифровой грамотности населения, определении недопустимых событий2, специфичных для отраслей и отдельных организаций, а также в использовании современных решений для кибербезопасности.

1 Комбо-лист — текстовый файл, содержащий набор имен пользователей или адресов эл. почты вместе с соответствующими паролями. Киберпреступники собирают такие файлы на основе многочисленных утечек данных или инцидентов безопасности и часто продают или раздают их в дарквебе.

2 Недопустимое событие — событие, возникающее в результате кибератаки и делающее невозможным достижение операционных и стратегических целей организации или приводящее к длительному нарушению ее основной деятельности.

Цифровой ландшафт Бразилии

По прогнозам, в текущем году ВВП Бразилии вырастет на 2,3%, что говорит о стремлении государства сократить разрыв с экономиками развитых стран.

В Бразилии действует стратегия цифровой трансформации (E-Digital) на цикл 2022–2026 гг., описывающая комплексный подход к использованию цифровых технологий для содействия устойчивому экономическому и социальному развитию. Ключевые компоненты стратегии — расширение доступа к качественным интернет-услугам по всей Бразилии, содействие развитию сектора исследований, разработки и инноваций, укрепление доверия к цифровой среде среди населения, совершенствование образования и профессиональной подготовки в сфере информационно-коммуникационных технологий.

В результате реализации стратегии наблюдаются следующие результаты:

  1. В стране уже сегодня отмечается высокая — свыше 86% — доступность интернета. Развиваются коммуникационные и сетевые технологии: на рынке телекоммуникаций Бразилии наблюдается значительный рост, во многом обусловленный переходом жителей на удаленную работу, широким использованием смартфонов, привлекательными тарифными планами и потребительским спросом на услуги потокового видео. Завершив освобождение спектра 3,5 ГГц для мобильных услуг на 14 месяцев раньше запланированного срока, Бразилия проложила путь для быстрого развертывания 5G по всей стране, что позволит пользователям раньше воспользоваться преимуществами высокоскоростного подключения.
  2. Наблюдается высокая степень цифровизации государственных услуг. На национальном уровне Бразилия уже давно зарекомендовала себя как успешный игрок в области электронного голосования и цифровых налоговых деклараций. Портал федерального правительства Бразилии gov.br насчитывает более 156 миллионов зарегистрированных пользователей и предоставляет более 4000 государственных услуг в цифровом формате. Вместе с тем инновации в Бразилии не ограничиваются федеральным уровнем, а продолжаются в рамках сотрудничества государственных и муниципальных органов власти с гражданскими технологическими платформами. Среди популярных цифровых сервисов — e-SIC, электронная система для запроса информации у госорганов, платформа для управления социальным обеспечением Meu INSS, сервисы муниципалитетов Prefeitura +Digital и др.
  3. В развитие промышленной отрасли, в том числе в научные исследования и разработки, инвестировано более 186 млрд реалов (свыше 33 млрд $) с целью цифровизировать к 2026 году 25% бразильских промышленных компаний, а к 2033 году эта цифра должна вырасти до 50%. Эти усилия являются частью более масштабной стратегии по интеграции Бразилии в глобальные цепочки поставок технологий и повышению ее внутренних производственных возможностей в развивающихся секторах. Цифровая трансформация промышленного сектора Бразилии сыграет решающую роль в повышении производительности, конкурентоспособности и создании более квалифицированных и высокооплачиваемых рабочих мест.
  4. Наблюдается рост рынка труда в сфере кибербезопасности, прогнозируется значительный рост в течение 2025 года, при этом рост будет обусловлен значительной долей (75%) инвестиций в технологии искусственного интеллекта и машинного обучения. Данные Crunchbase за период Q1 2023 – Q1 2025 подтверждают стремление Бразилии к широкому внедрению интеллектуальных технологий и активному развитию в этой сфере: доля глобальных инвестиций в искусственный интеллект от общего числа инвестиций в сферу науки и инженерии для страны составила 9%, а доля местных инвестиций — треть от общего числа (34%). Еще одной причиной роста рынка труда является бразильский общий закон о защите данных (LGPD), в который в рамках обновления 2024 года введены новые стандарты международной передачи данных. Правила, устанавливаемые стандартами, заставляют компании серьезно ужесточать меры, что требует расширения рабочих мест для специалистов по кибербезопасности. Бразилия становится крупным игроком в установлении стандартов для новой технологической безопасности. Эти изменения создают массу новых рабочих мест, особенно в таких областях, как соответствие нормативам, архитектура безопасности и реагирование на инциденты.

Тем не менее на данный момент Индекс сетевой готовности3 (Network Readiness Index) Бразилии подчеркивает развивающийся характер использования технологий: 44-я позиция в рейтинге и детализация оценки показывают, что в стране наблюдается недостаточное государственное поощрение инвестиций в новые технологии, малое число патентов в сфере информационно-коммуникационных технологий и недостаточное развитие навыков владения этими технологиями в системе образования. Однако можно определенно утверждать, что Бразилия активно движется в сторону цифровой трансформации. Это подчеркивается ростом рынка информационных технологий: для него в 2024 году был зарегистрирован значительный рост на 13,9%, что превысило средний мировой показатель в 10,8%. Страна закрепила за собой статус крупнейшего игрока в сфере информационных технологий в Латинской Америке, на долю которого приходится 34,7% инвестиций всего региона. Высока доля глобальных инвестиций в программное обеспечение: по данным Crunchbase, за период Q1 2023 – Q1 2025 она составила 10%, доля местных инвестиций несколько меньше (8%). По данным ABES, бразильской ассоциации компаний-разработчиков программного обеспечения, устойчивость сектора информационных технологий в стране обусловлена развитием искусственного интеллекта, цифровизацией компаний и построением облачных инфраструктур.

3 Индекс сетевой готовности (Network Readiness Index) — комплексный показатель, характеризующий уровень развития информационно-коммуникационных технологий и сетевой экономики в разных странах.

Вместе с тем цифровой ландшафт страны обладает определенными тенденциями развития, о которых можно судить по результатам анализа рынков и инвестиций:

  • с 2023 года в Бразилии наблюдается активный рост инвестиций в центры обработки данных и облачные вычисления: этому способствуют перенос отраслевых и бизнес-процессов в цифровой вид и сопутствующий интерес к технологиям искусственного интеллекта;

  • активно ведутся разработки в сфере биометрии: по объему выручки на долю Бразилии в 2023 году пришлось 2% мирового рынка биометрических технологий (доход рынка биометрических технологий Бразилии составил 832,8 млн $). По прогнозам, рынок биометрических технологий Бразилии к 2030 году станет лидером в Латинской Америке по объему выручки (и, предположительно, достигнет 3,64 млрд $). В крупнейших аэропортах Бразилии Конгоньясе и Сантос-Дюмоне внедрена технология биометрической посадки4, задача которой — ускорить прохождение пассажирами предполетного контроля и повысить безопасность;

  • продолжается инвестирование в криптовалюты: в 2024 году Латинская Америка стала вторым регионом в мире по темпу роста рынка криптовалют с годовым показателем 42,5%, а Бразилия, в которой криптовалюта является законным платежным средством, в том же году вошла в топ-20 лидеров «Глобального индекса внедрения криптовалют», заняв 10-е место. Наряду с этим Бразилия стала одной из первых стран в мире, где был принят закон о регулировании рынка криптовалют и виртуальных активов.

Направления цифрового развития могут влиять на ландшафт киберугроз в государстве, в частности наиболее стремительно цифровизируемые отрасли могут стать ключевым объектом кибератак при недостаточных организационных и технических мерах кибербезопасности, принятых для этих отраслей.

4 Биометрическая посадка — система, которая использует биометрические технологии для автоматизации процесса регистрации и посадки пассажиров на рейсы. Основная цель таких систем — ускорить и упростить процедуры безопасности и контроля, а также повысить удобство для пассажиров.

Ландшафт киберугроз Бразилии

Статистика кибератак и проблемы безопасности бразильских организаций

Внедрение процессов и мер кибербезопасности в Латинской Америке отличается от принятых в наиболее технологически развитых странах, при этом уровень цифровизации уже достаточно высок. Это приводит к тому, что в регионе злоумышленники обладают более широкими возможностями. Отмечается, что киберугрозы в Латинской Америке растут быстрее, чем где-либо еще в мире. По информации на начало текущего года, латиноамериканские компании в среднем подвергаются 2569 атакам в неделю — это почти на 40% больше среднего мирового показателя в 1848 атак.

Бразилия ожидаемо входит в число основных целей в мире для кибератак и финансового мошенничества. Так, по данным на 2023–2024 гг., на бразильские организации пришлась почти пятая часть (19%) всех кибератак региона. Проблемы в части противодействия киберугрозам были видны и по позиции страны в рейтинге индекса киберзащищенности (The Cyber Defense Index 2022/23): Бразилия заняла 18-е место.

Успех кибератак во многом обусловлен тем, что при массовом внедрении цифровых технологий (банковских мобильных приложений, социальных сетей и электронной почты) уровень цифровой грамотности населения остается довольно низким. Вместе с тем в ходе цифровизации бразильские организации стали все чаще использовать облачные вычисления, мобильные приложения и платформы на основе API для оптимизации операций и стимулирования инноваций. Этот цифровой всплеск, несомненно значимый для трансформации привычных бизнес-моделей, расширил поверхность кибератак.

Среди проблем, с которыми сталкиваются бразильские организации, — устаревшие системы и фрагментированные ИТ-инфраструктуры, которые затрудняют бесшовную интеграцию современных мер безопасности, оставляя уязвимые места. Кроме того, Бразилия сталкивается с постоянной нехваткой квалифицированных кадров в сфере кибербезопасности. Так, по данным опроса, проведенного в феврале текущего года консалтинговой компанией Rooby, 50% бразильских руководителей по кибербезопасности считают, что университеты не готовят специалистов для отрасли в достаточной степени, а 30% отмечают, что дипломы обеспечивают лишь минимальную подготовку. При этом 56% руководителей отметили трудности с поиском квалифицированных специалистов в области информационной безопасности, а 38% — с поиском специалистов в таких узкоспециализированных областях, как анализ киберугроз и защита облачных приложений.

Цифровизируемые отрасли под прицелом киберпреступников

Возвращаясь к тенденциям цифрового развития Бразилии, следует отметить, что активно цифровизируемые госучреждения лидируют среди категорий жертв: за период 2023–2024 гг. превалирующая доля (26%) кибератак пришлась именно на них. Это связано как с недостаточной защищенностью госучреждений, так и с возрастающим числом цифровых сервисов, расширяющих поверхность атаки.

Рисунок 1. Топ-5 категорий жертв среди организаций в Бразилии за период 2023–2024 гг.

Так, на теневых форумах присутствуют объявления об успешных взломах государственных сервисов с требованием выкупа за восстановление доступа к данным. В частности, это коснулось крупнейшего бразильского сервиса gov.br. Сервис пострадал от кибератаки группировки вымогателей KillSec, которая в 2024 году объявила о выпуске собственного шифровальщика, продаваемого по подписке (ransomware as a service). Объявление об атаке на gov.br было опубликовано группировкой в конце октября 2024 года и содержало сведения о частных лицах и компаниях, их адресах и контактной информации, идентификационных номерах предприятий-налогоплательщиков (CNPJ) и налогоплательщиков — физических лиц (CPF), а также сведения о предоставляемых услугах и контрактах. В объявлении указано, что данные опубликованы, что говорит о том, что выкуп не был заплачен.

Рисунок 2. Объявление на теневом форуме об успешной атаке KillSec на gov.br
Рисунок 2. Объявление на теневом форуме об успешной атаке KillSec на gov.br

В части биометрического развития бразильский орган по защите данных (ANPD) 24 июня 2024 года опубликовал исследование, в котором обсуждались использование, риски и достижения в области биометрических данных и технологий распознавания лиц. ANPD подчеркнул чувствительность биометрических данных, потенциальные ошибки идентификации и риски дискриминации. Наряду с признанием технологий искусственного интеллекта как эффективного инструмента для повышения качества распознавания лиц в целях безопасности были отмечены и актуальные проблемы, связанные с точностью и конфиденциальностью работы моделей.

Растущая важность биометрических систем в Бразилии в сочетании с недостаточной квалификацией специалистов по кибербезопасности может приводить к направленным атакам с целью компрометации данных и нарушения деятельности. Так, в марте текущего года произошел масштабный инцидент, затронувший FacePass, бразильское приложение для идентификации. В результате кибератаки было раскрыто более 1,6 млн файлов, содержащих конфиденциальную информацию пользователей и учетные данные корпоративной системы. Утечка произошла из-за некорректных настроек через открытый контейнер облачного хранилища Amazon Web Services, в результате под угрозой оказались персональные данные множества жителей Бразилии. Среди скомпрометированных данных — национальные удостоверения личности, селфи для проверки, полные имена, номера CPF (налоговые идентификаторы), номера телефонов, а также учетные данные Amazon Web Services. Нарушение также раскрыло учетные данные FacePass Amazon Web Services, что потенциально позволило получить несанкционированный доступ к системам компании.

Финансовые организации являются одной из ключевых целей злоумышленников по всему миру, и эта тенденция не обошла стороной и Бразилию. Одним из наиболее громких инцидентов в этой сфере стала утечка данных Банка Бразилии (Banco do Brasil), в результате которой были скомпрометированы конфиденциальные данные клиентов, включая персональные идентификационные данные и финансовую информацию. Вместе с тем недостаточный уровень цифровой грамотности сотрудников, защищающих и настраивающих банковскую информационную инфраструктуру, также может привести к серьезным проблемам безопасности. Например, из-за недостатков мер кибербезопасности, принятых в бразильском Banco Inter, были раскрыты данные счетов клиентов и истории транзакций.

В Бразилии криптовалюта является законным средством платежа, что значительно расширяет поверхность угроз для финансового сектора. Так, в 2024 году отдел разведки угроз Google Cloud обнаружил, что киберпреступники активно атакуют бразильские криптовалютные биржи и финтех-компании.

Рисунок 3. Публикация Mandiant (дочерняя компания Google)
Рисунок 3. Публикация Mandiant (дочерняя компания Google)

Меры правительства для защиты от киберугроз

Следует отметить, что правительство Бразилии предпринимает активные усилия по противодействию киберугрозам:

  • В декабре 2023 года Бюро институциональной безопасности (GSI) обновило национальную политику кибербезопасности Бразилии (PNCiber) и создало национальный комитет по кибербезопасности (CNCiber), нацеленный на разработку национальных технологий, борьбу с киберпреступностью, повышение устойчивости организаций к сетевым угрозам и содействие международному сотрудничеству в области цифровой безопасности.

  • Для частичного преодоления проблем безопасности, связанных с биометрией, в Бразилии создана Федеральная биометрическая служба для надзора за выдачей биометрических национальных удостоверений личности (carteira de identidade nacional). Новый закон обязывает Федеральную биометрическую службу иметь системы для выполнения биометрических проверок «один ко многим» и «один к одному» в отношении имеющихся у нее биометрических данных.

  • Стремление к противодействию киберугрозам также подчеркивается ростом бразильского рынка кибербезопасности: по прогнозам, он достигнет 5,46 млрд $ к 2029 году, увеличившись в среднем на 10,3%.

Однако в Бразилии сегодня сохраняется ряд значимых проблем, связанных с кибербезопасностью. В частности, бразильский орган по защите данных (ANPD) не вошел в состав CNCiber, что может являться существенным упущением, учитывая важность защиты персональных данных от киберугроз. Крайне важно, чтобы в состав ключевых органов государства, занимающихся реализацией национальной политики кибербезопасности, входили технические эксперты, обладающие соответствующим опытом и компетенциями. Нехватка квалифицированных специалистов — одно из наиболее значимых препятствий для роста бразильского рынка кибербезопасности.

Тенденции теневого рынка Бразилии

Бразилия, экономика которой становится все более цифровой, становится приоритетной целью для киберпреступников как внутри страны, так и за рубежом. За 2023–2024 гг., по нашим данным, преобладающими категориями последствий успешных кибератак на организации Латинской Америки являются утечка конфиденциальной информации (53%) и нарушение основной деятельности (35%), и Бразилия, несомненно, внесла определяющий вклад в эти показатели.

Рисунок 4. Последствия успешных кибератак в Латинской Америке за 2023–2024 гг.

В рамках исследования крупнейших теневых форумов и телеграм-каналов для Бразилии были выявлены следующие тенденции, каждая из которых будет более подробно рассмотрена далее:

  1. Превалирующая доля объявлений (около 38%) относительно Бразилии связана с продажей/раздачей баз данных и комбо-листов.
  2. Значительная часть объявлений (более 10%) затрагивает государственный сектор, что соответствует глобальной статистике по открытым данным и коррелирует с одним из бразильских векторов цифровизации, связанных с предоставлением электронных услуг гражданам.
  3. Для Бразилии наблюдается общемировая тенденция теневых рынков, состоящая в трансформации дарквеба в теневую экосистему, в рамках которой пользователям предлагаются различные сервисы, упрощающие реализацию кибератак. Вместе с тем тенденция к разделению труда в киберпреступной среде в отношении доступов к инфраструктуре также нашла свое отражение в Бразилии.
  4. Велика доля объявлений о продаже/раздаче сканов документов (паспортов и водительских удостоверений) вместе с селфи-фото и видео для прохождения авторизации.
  5. В Бразилии, как и во всей Латинской Америке, активно действуют шифровальщики. В части теневых рынков это проявляется в объявлениях киберпреступников, нацеленных на получение выкупа за украденные данные.

Базы данных и комбо-листы

Базы данных и комбо-листы совокупно представляют собой преобладающую долю (38%) объявлений теневых форумов относительно Бразилии, их соотношение между собой составляет примерно два к одному.

Базы данных, как правило, являются более информативной категорией утечек по сравнению с комбо-листами, которые часто составляются из уже устаревших баз данных путем удаления всей информации, кроме пар «электронная почта — пароль» и подобных им. Базы могут содержать персональные и учетные данные пользователей, конфиденциальную информацию компаний и т. п.

Зачастую утечки распространяются с указанием источника, типа скомпрометированных данных и стоимости. Например, ниже представлено типичное сообщение о продаже базы данных бразильского маркетплейса, содержащей сведения о ее клиентах, продавцах и продуктах (стоимость — 390 $). Данные о клиентах включают в себя телефон, адрес электронной почты, CPF, фото и прочую информацию. Подобные данные могут быть использованы для дальнейших атак на клиентов компании.

Рисунок 5. Объявление о продаже БД бразильского маркетплейса
Рисунок 5. Объявление о продаже БД бразильского маркетплейса

Стоимость данных напрямую зависит как от уникальности данных, так и от размеров компании. Так, база данных бразильской IT-компании, скомпрометированная в конце февраля текущего года, содержит имена, телефоны и адреса электронной почты сотрудников и продается за 100 $, тогда как стоимость отдельных утечек может превышать десятки тысяч долларов.

Рисунок 6. Объявление о продаже базы данных бразильской IT-компании
Рисунок 6. Объявление о продаже базы данных бразильской IT-компании

Среди объявлений также встречаются устаревшие базы данных, например объявление о раздаче данных о более чем 533 млн пользователей Facebook5 за 2021 год (включая имена, номера телефонов и адреса электронной почты). Однако даже устаревшие базы данных могут иметь ценность, поскольку пользователи не всегда обновляют учетные данные после утечки, поэтому их распространение может продолжаться в течение нескольких лет после инцидента.

5 Продукт компании Meta, которая, в соответствии с законодательством Российской Федерации, признана экстремистской организацией и запрещена в России.

Рисунок 7. Раздача данных о пользователях соцсети от 2021 года
Рисунок 7. Раздача данных о пользователях соцсети от 2021 года

Цена за комбо-листы аналогично может варьироваться в зависимости от объема и «свежести» данных, например комбо-лист, содержащий почти 3 млн адресов электронной почты и паролей, можно приобрести на теневом форуме за 300 $.

Рисунок 8. Объявление о продаже комбо-листа с адресами эл. почты и паролями жителей Бразилии
Рисунок 8. Объявление о продаже комбо-листа с адресами эл. почты и паролями жителей Бразилии

Большое число объявлений о раздаче/продаже комбо-листов и баз данных низкой ценности, предположительно, может быть связано с легкостью получения таких данных: текущий уровень цифровой грамотности в Бразилии характеризуется частым использованием простых паролей и недостаточной эффективностью защитных мер при передаче, обработке и хранении персональных данных и другой чувствительной информации.

Следует также отметить, что конкуренция на теневых ресурсах высока, и для успешной работы продавцам товаров и услуг требуется демонстрировать высокую степень вовлеченности и поддерживать высокий уровень доверия к себе за счет оперативного ответа покупателям и удовлетворения их потребностей. Поэтому бесплатная раздача данных отчасти может способствовать завоеванию авторитета в теневом сообществе.

Как правило, базы данных и комбо-листы могут быть использованы для реализации кибератак следующим образом:

1. Для автоматизации методов кибератак, связанных с учетными данными: брутфорса, подстановки учетных данных, взлома аккаунтов и т. п. Цель злоумышленников в таких атаках — проверить украденные учетные данные на различных сайтах и в приложениях в надежде найти совпадение и получить несанкционированный доступ к конфиденциальным данным или инфраструктуре. Это может сработать, поскольку люди часто используют одни и те же пароли сразу для нескольких сервисов.

Рисунок 9. Объявление о продаже комбо-листа с адресами эл. почты и паролями
Рисунок 9. Объявление о продаже комбо-листа с адресами эл. почты и паролями

2. Для реализации целевых кибератак с использованием методов социальной инженерии. Например, дополняя информацию о скомпрометированных корпоративных эл. адресах утекшими документами из баз данных, а также сведениями из соцсетей, киберпреступники могут установить ключевых лиц компании (высшее руководство, сотрудников IT-департамента и финансового отдела) и в дальнейшем сформировать целенаправленное фишинговое воздействие уже на них.

Таким образом, следует отметить, что базы данных в силу своего разнообразия чаще являются источником ценных знаний и ресурсов для злоумышленников, чем комбо-листы, которые в большинстве случаев являются low-value-товарами теневого рынка. Однако, как правило, информация, полученная из баз данных и комбо-листов, позволит реализовать лишь первоначальный этап кибератаки, сокращая киберпреступникам время на разведку и предоставляя широкие возможности для атак методами социальной инженерии. 

Услуги теневого рынка

Общемировая тенденция для теневых рынков, состоящая в укреплении сервисной модели, наблюдается и в отношении Бразилии. Среди объявлений все чаще встречаются предложения различных сервисов для пользователей, не имеющих необходимой квалификации для самостоятельного взлома инфраструктуры или кражи данных.

Отмечаются сервисы для реализации фишинговых атак, перехвата SMS-сообщений, получения доступа к подпискам на популярные мультимедийные сервисы (Netflix, Spotify). Киберпреступники, не обладающие соответствующей квалификацией, заинтересованы в использовании подобных сервисов для реализации своих целей. Например, фишинговые атаки и перехваченные SMS-сообщения могут быть использованы для получения несанкционированного доступа к приложениям и сервисам, установленным на устройствах жертвы (банковским приложениям, государственным электронным сервисам, личному кабинету на портале медицинских услуг и т. п.). В контексте Бразилии это особенно актуально ввиду невысокой цифровой грамотности пользователей, получивших возможность управлять своими финансами и другими ресурсами посредством смартфона.

В одном из объявлений предлагается возможность использования фишинговой панели, работающей в режиме реального времени. Авторы объявления отмечают, что ее функциональность включает более 160 фишинговых страниц, имитирующих банки, криптобиржи, социальные сети и прочие объекты, причем есть возможности настройки отображаемого контента под конкретную жертву, а также расширения базы фишинговых страниц, исходя из запросов покупателей. Отмечается, что с помощью панели можно получить пары «логин — пароль», коды из SMS-сообщений и электронных писем, коды двухфакторной аутентификации (2FA). Панель, как отмечает автор объявления, уже включает фишинговые страницы для крупнейших банков ряда стран. В отношении Бразилии она способна имитировать страницы следующих банков: Banco Bradesco, Banco do Brasil, Banco Itaú, Nubank PJ.

Рисунок 10. Объявление о предоставлении услуги по использованию фишинг-панели
Рисунок 10. Объявление о предоставлении услуги по использованию фишинг-панели
Рисунок 11. Объявление о предоставлении услуги по использованию фишинг-панели с дополнительной информацией
Рисунок 11. Объявление о предоставлении услуги по использованию фишинг-панели с дополнительной информацией

Автор объявления о предоставлении сервиса по перехвату SMS-сообщений уточняет, что сервис работает для любых номеров оператора Claro — крупнейшей телекоммуникационной группы в Латинской Америке и одного из ключевых мультисервисных операторов в Бразилии, представленного во всех регионах страны. Claro работает более чем в 4800 бразильских муниципалитетах, а ее сети обеспечивают услугами около 98% населения. Стоимость перехвата одного SMS-сообщения — 100 $, а за 300 $ уже можно работать с одним номером без ограничений. Использование такого сервиса позволяет злоумышленникам взламывать аккаунты пользователей, красть деньги с их счетов через коды подтверждения транзакций, завладевать чувствительной информацией (персональными и медицинскими данными), что в дальнейшем может быть использовано для мошенничества, шантажа или реализации атак методами социальной инженерии.

Рисунок 12. Объявление о предоставлении услуги по перехвату SMS-сообщений
Рисунок 12. Объявление о предоставлении услуги по перехвату SMS-сообщений

Несмотря на то что объявления о продаже различных аккаунтов не имеют прямого отношения к реализации атак, они зачастую сами являются результатом киберпреступной деятельности. Такие аккаунты могут быть получены незаконным путем, например из различных утечек, в результате работы вымогательских программ или неправомерного использования сервисов. Как отмечает автор объявления ниже, его услуги помогут получить доступ к неограниченному числу фильмов и треков на различных сервисах.

Рисунок 13. Объявление о предоставлении услуги по активации подписок и апгрейду аккаунта
Рисунок 13. Объявление о предоставлении услуги по активации подписок и апгрейду аккаунта

За определенную плату киберпреступники предлагают весьма широкий спектр доступов и БД по различным странам, не ограничиваясь публикацией объявлений об уже имеющихся данных и доступах. Многие брокеры информации предлагают свои услуги по целевому поиску информации по запросу клиента. Таким образом, для всего теневого рынка наблюдается экосистемность, поскольку любой этап кибератаки может быть отдан на аутсорс более квалифицированным киберпреступникам. Объявления на теневых форумах становятся похожими на рекламную площадку, работающую с таргетированными запросами.

Рисунок 14. Объявление о продаже баз данных и доступов для разных стран, включая Бразилию
Рисунок 14. Объявление о продаже баз данных и доступов для разных стран, включая Бразилию

В результате порог входа в киберпреступное сообщество снижается, и за деньги даже человек, не обладающий необходимой квалификацией и знаниями, может попробовать себя в роли «хакера».

Продажа и раздача доступов

Еще одна общемировая тенденция теневых рынков, которая также наблюдается и для Бразилии, — это разделение труда в киберпреступной среде, проявляющееся в том числе в популярности сервисов по продаже доступов к инфраструктурам различных компаний (доля объявлений о продаже/раздаче доступов к инфраструктуре бразильских организаций составляет 12% от всех объявлений). Переход многих злоумышленников на сервисную модель привел к большему спросу на покупку первоначальных доступов, что нашло отражение в преобладании объявлений о продаже доступов (72%) над объявлениями об их бесплатной раздаче (18%).

Более квалифицированные злоумышленники специализируются на добыче доступов и их последующей продаже, в том числе тем, кому эти доступы требуются для успешной реализации кибератаки. «Доступами» в дарквебе называют данные для получения несанкционированного доступа к устройству или сервису в инфраструктуре компании.

Доступы могут быть получены различными способами, в частности путем реализации:

  • кибератак, использующих низкую цифровую грамотность пользователей. К таким атакам относятся фишинговые атаки, атаки методом брутфорса или с использованием словарей, которые эффективны в случае слабых пользовательских паролей, а также атаки с использованием вредоносного программного обеспечения, распространяемого посредством вложений или ссылок в электронной почте или мессенджерах;

  • кибератак, эксплуатирующих уязвимости программного обеспечения, функционирующего в атакуемой инфраструктуре. Такие атаки могут быть связаны среди прочего с использованием устаревших операционных систем и приложений, которые больше не поддерживаются и не получают обновлений безопасности;

  • кибератак, использующих слабые места в настройке механизмов защиты, например неправильную конфигурацию систем (наличие открытых портов, использование ненадежных протоколов и т. п.) или недостаточную сегментацию сети.

Например, за 3000 $ на одном из теневых форумов можно приобрести доступ к бразильскому DNS-контроллеру. Детальная информация о контроллере не публикуется, однако из объявления можно понять, что он предоставляет доступ к пользовательскому трафику. Получение такого доступа может открыть возможности для реализации фишинговых атак, захвата аккаунтов, установки вредоносного программного обеспечения, а также регистрации под корпоративной учетной записью.

Рисунок 15. Объявление о продаже доступа к DNS-контроллеру
Рисунок 15. Объявление о продаже доступа к DNS-контроллеру

Среди объявлений можно встретить продажу доступов к инфраструктуре крупных промышленных, государственных и финансовых учреждений. Получение доступа к инфраструктуре промышленных компаний может предоставить злоумышленникам возможность влиять на реализацию технологических процессов, в том числе выводить их из-под контроля, создавая аварийные и опасные ситуации.

В конце 2024 года на одном из теневых форумов было размещено объявление о продаже данных и доступа к панели управления бразильской компании Nuclep, специализирующейся на производстве и поставке оборудования и технологий для различных отраслей, включая энергетическую, нефтегазовую и оборонную. Данные, оказавшиеся у киберпреступников (250 ГБ), включали файлы с чувствительной информацией по ядерной инженерии для военных и оборонных разработок. Помимо этого, база украденных данных содержала чертежи подводных лодок, выполненных в AutoCAD, видео и изображения, касающиеся добычи урана, сведения по нефте- и газодобыче, значимые географические координаты, а также сведения о сотрудниках (имена, эл. адреса, пароли и т. д.). Стоимость базы данных составила 5000 $, стоимость доступа к панели управления — 15 000 $. Опасность утечки такой информации в том, что она содержит конфиденциальные данные, относящиеся к военной и оборонной отраслям, и в том, что она может позволить злоумышленнику воздействовать на промышленную инфраструктуру — вывести ее из строя или нарушить ее корректную работу. Наличие доступа также оставляет возможность для дальнейшего сбора конфиденциальной информации и ее компрометации.

Рисунок 16. Объявление о продаже доступа к панели управления промышленной компании Nuclep
Рисунок 16. Объявление о продаже доступа к панели управления промышленной компании Nuclep

Тогда же было опубликовано объявление о продаже доступа к GitLab и VNet VPN крупнейшей (что подтверждается суммой revenue в 102,4 млрд $) бразильской нефтегазовой компании Petrobras, контролируемой государством. Стоимость доступов — от 0,8 до 1 BTC (порядка 83 000–104 000 $).

Получение злоумышленниками таких доступов открывает им возможность для получения доступа к исходному программному коду некоторых решений с возможностью последующего внедрения вредоносного кода, уязвимостей и бэкдоров, раскрытия конфиденциальной информации. Под угрозой также оказываются связанные с Petrobras компании, точкой проникновения в инфраструктуру которых как раз может стать доступ к VNet VPN.

Рисунок 17. Объявление о продаже доступа к инфраструктуре бразильской промышленной компании
Рисунок 17. Объявление о продаже доступа к инфраструктуре бразильской промышленной компании

Государственные, финансовые и медицинские учреждения хранят большие объемы чувствительной информации, кража или шифрование которой может быть либо монетизирована киберпреступниками, либо использована для таргетированных кибератак.

Бразильская реабилитационная клиника Clinica Um Novo Amanhecer, специализирующаяся на лечении наркозависимых, стала жертвой утечки FTP-доступа к ее инфраструктуре. Обладая таким доступом, злоумышленник может перехватить связь между клиентом и сервером, изменить данные во время передачи или вставить вредоносное содержимое в файлы, что может повлиять на лечение пациентов и нарушить конфиденциальность в отношении их личности и медицинского диагноза.

Рисунок 18. Объявление о продаже доступа к инфраструктуре бразильской медицинской организации
Рисунок 18. Объявление о продаже доступа к инфраструктуре бразильской медицинской организации

В некоторых объявлениях нет информации о том, для какой конкретно компании был получен доступ. Так, в одном объявлении за 50 000 $ продается доступ (C2, shell, облачный доступ и не только) к инфраструктуре одной из крупнейших компаний Бразилии, работающей в сфере финансовых услуг, электричества, нефти и газа, энергетики, инвестиций и прочего. Автор объявления утверждает, что инфраструктура компании включает 1400 устройств, а число сотрудников превышает 800 человек. 

Рисунок 19. Объявление о продаже доступа к инфраструктуре крупной бразильской финансовой организации
Рисунок 19. Объявление о продаже доступа к инфраструктуре крупной бразильской финансовой организации

Таким образом, добыча и последующая продажа доступов представляет собой весьма прибыльный бизнес, учитывая, что их стоимость может достигать 70 000 $ (с учетом курса биткоина).

В свою очередь, раздача доступов наблюдается значительно реже, при этом сами доступы имеют куда меньшую ценность. В основном это низкоуровневые доступы к веб-панелям, которые могли быть получены киберпреступниками без особых трудозатрат, например путем брутфорса паролей. Если хакер, получивший доступ, не находит в нем ничего полезного или просто не заинтересован в последующей реализации кибератаки на организацию, он может распространить его бесплатно. Вместе с этим раздавать доступы могут и хактивисты и те, кто стремится повысить свой рейтинг на теневом рынке. 

Рисунок 20. Объявление о раздаче доступа к бразильской государственной организации
Рисунок 20. Объявление о раздаче доступа к бразильской государственной организации

Киберугрозы на горизонте: что может ждать Бразилию

Госсектор под угрозой

Почти половина кибератак на государственные системы Бразилии в 2024 году, обнаруженных бразильским центром обработки и реагирования на инциденты безопасности CTIR Gov (Centro de Tratamento e Resposta a Incidentes Cibernéticos do Governo), сопровождалась утечкой данных, что позволяет предположить появление большого числа объявлений на теневых форумах относительно бразильских госучреждений. Это подтверждается анализом теневых форумов: свыше 10% всех объявлений на проанализированных теневых ресурсах связана с госучреждениями.

Преобладающая категория последствий (43%) — утечка конфиденциальной информации в виде баз данных и доступов, за ней следует нарушение основной деятельности госучреждений через дефейс сайтов и DDoS-атаки (33%). Это согласуется с ключевыми последствиями успешных кибератак для всей Латинской Америки.

Аналогичная картина наблюдается на теневых ресурсах, где совокупная доля объявлений о раздаче/продаже различной информации (персональных данных или документов) и доступов, относящихся к госучреждениям, составляет 43%, опережая долю объявлений об успешных дефейсах сайтов госучреждений (31%). Например, в одном объявлении продается база данных MySQL и доступ к внутренней сетевой инфраструктуре военной полиции бразильского штата Мараньян. Сведения о полицейских составляют 14 186 строк и включают их имена, регистрационные номера, логины, пароли и уровни доступа.

Рисунок 21. Объявление о продаже базы данных военной полиции штата Мараньян и доступа к их инфраструктуре
Рисунок 21. Объявление о продаже базы данных военной полиции штата Мараньян и доступа к их инфраструктуре

В январе текущего года на одном из теневых форумов было опубликовано объявление о продаже базы данных и исходных текстов сайтов центрального агентства государственной системы охраны окружающей среды Бразилии (SEMA). Стоимость ресурсов составляла 500 $, база данных объемом свыше 1,7 ГБ включала пользовательские данные, параметры конфигурации сайта и прочее, объем исходных текстов составлял 321 МБ.

Рисунок 22. Объявление о продаже базы данных и исходных текстов центрального агентства государственной системы охраны окружающей среды Бразилии
Рисунок 22. Объявление о продаже базы данных и исходных текстов центрального агентства государственной системы охраны окружающей среды Бразилии

Для объявлений, касающихся госучреждений и связанных с ними сущностей, характерно то, что среди них встречаются не только объявления о продаже/раздаче данных, но и объявления о результатах успешных кибератак: дефейсах сайтов, DDoS-атак, найденных уязвимостях. Это говорит о том, что госучреждения в Бразилии, как и во всем мире, атакуют не только финансово мотивированные киберпреступники, но и хактивисты, а также начинающие киберпреступники, стремящиеся завоевать авторитет в теневом сообществе.

Так, в конце ноября 2024 года на одном из теневых форумов было опубликовано объявление о распространении SQL-уязвимости для сайта города и муниципалитета Кампинас (штат Сан-Паулу). Автор объявления даже опубликовал шаблон запроса, эксплуатирующего уязвимость, с указанием, куда добавлять полезную нагрузку.

Рисунок 23. Объявление о раздаче SQL-уязвимости для сайта города Кампинас
Рисунок 23. Объявление о раздаче SQL-уязвимости для сайта города Кампинас

Дефейсу подвергаются различные государственные сайты, например одна кибератака затронула сайт Министерства сельского хозяйства Бразилии. Это подчеркивает, что целью подобных атак зачастую является не нанесение прямого ущерба организации, а возможность сделать определенное заявление.

Рисунок 24. Объявление об успешном дефейсе сайта Министерства сельского хозяйства Бразилии
Рисунок 24. Объявление об успешном дефейсе сайта Министерства сельского хозяйства Бразилии

В целом анализ теневых рынков для бразильских госучреждений показывает корреляцию с ключевыми последствиями кибератак во всем латиноамериканском регионе: утечка конфиденциальных данных и нарушение основной деятельности как раз проецируются на объявления о продаже/раздаче баз данных и о дефейсах, DDoS-атаках и уязвимостях веб-ресурсов таких организаций.

Популярность биометрических данных

Велика доля объявлений о продаже/раздаче данных, содержащих отсканированные документы (паспорта, водительские удостоверения) и селфи (фото и видео), используемые для верификации аккаунтов.

Такие объявления могут затрагивать не только Бразилию, но и целый ряд стран, а отсканированные документы дополняются селфи. Они часто используются для подтверждения личности пользователя, особенно в финансовых или государственных сервисах. Кроме этого, селфи могут использоваться для двухфакторной аутентификации.

Рисунок 25. Объявление о продаже сканов паспортов и селфи
Рисунок 25. Объявление о продаже сканов паспортов и селфи

Встречаются также фото людей, держащих свои паспорта в руках в раскрытом виде, что подтверждает их использование для верификации своих аккаунтов.

Рисунок 26. Объявление о раздаче данных (селфи-фото и видео) для разных стран, включая Бразилию
Рисунок 26. Объявление о раздаче данных (селфи-фото и видео) для разных стран, включая Бразилию

Такие данные могут быть использованы различным образом:

  1. Для кибермошенничества. Злоумышленники могут совершить кражу личности: используя сканы украденных документов, они могут выдавать себя за жертву при совершении, например, финансовых операций (открытии банковских счетов, получении кредитов). Вместе с этим личные данные могут быть использованы для получения доступа к аккаунтам в соцсетях, электронной почте, а также к финансовым ресурсам жертвы.
  2. Для реализации кибератак методами социальной инженерии. С использованием таких документов и фото злоумышленники могут создавать фальшивые профили в соцсетях и, выдавая себя за жертву, получать от ее контактов больше информации о ней же (или о ее контактах).
  3. Для доступа к защищенным системам, требующим подтверждения личности (если они не используют дополнительные меры защиты, например многофакторную аутентификацию).
  4. Для обхода биометрических систем, что особенно значимо в контексте бразильского бума инвестирования в биометрические стартапы и разработки. Злоумышленники могут использовать изображения для создания дипфейков, масок, 3D-моделей, позволяющих обмануть систему. Следует отметить, что для современных бразильских биометрических систем все же характерно некоторое несовершенство. Так, в 2023 году в Бразилии арестовали вора, который, по данным полиции Сан-Паулу, использовал фотографии владельцев банковских счетов, наложенные на манекен, чтобы обойти функцию распознавания лиц в приложении для мобильного банкинга и брать кредиты от их имени. Учитывая, что 7 из 10 бразильских банков в 2024 году начали внедрение биометрии лица, тенденция вызывает опасения по поводу увеличения числа будущих киберугроз для финансовой инфраструктуры Бразилии.

Продолжающиеся атаки группировок шифровальщиков

Помимо увеличения числа кибератак на Латинскую Америку в целом, в феврале текущего года в Бразилии был зафиксирован рекордный показатель для атак с использованием шифровальщиков: более 960 кибератак за месяц. Удивителен тот факт, что жертвами вымогателей становились крупные бразильские компании, обладающие и бюджетом на кибербезопасность, и большими IT-командами. Это еще раз подчеркивает специфику процесса цифровизации в Бразилии, относящейся к развивающимся странам.

Несомненно, атаки шифровальщиков не могли не найти отражения на теневых рынках. Среди группировок, публиковавших там объявления об успешных атаках, выделяются три группировки вымогателей: RansomHub (14% атак), LockBit3 (13%) и ArcusMedia (6%).

Группировка RansomHub считается преемником известной группировки вымогателей Knight, она работает как ransomware-as-a-service с моделью предоплаты для партнеров. По той же сервисной модели работает группировка LockBit, добившаяся успеха в своей киберпреступной деятельности благодаря инновациям и постоянному развитию административной панели группы и вспомогательных функций RaaS. Группировка обладает широким арсеналом TTP, используемых для развертывания и выполнения программ-вымогателей. ArcusMedia в первую очередь атакует такие страны, как Бразилия, США, Колумбия, Великобритания и Италия, нацеливаясь на отрасли, связанные с программным обеспечением, финансами, транспортом и телекоммуникациями.

Рисунок 27. Топ-10 группировок вымогателей для Бразилии по результатам анализа теневых форумов

Как и в случае с анализом теневых площадок по всей Латинской Америке за 2023–2024 гг., в большей части объявлений относительно Бразилии злоумышленники заявляют о том, что смогли реализовать кибератаку на ту или иную компанию. Как правило, это делается для привлечения внимания общественности и демонстрации масштабов деятельности киберпреступников.

Впоследствии они могут опубликовать объявление о продаже или раздаче украденных данных. Так, за скомпрометированные данные крупнейшей в Латинской Америке компании в сфере водоснабжения и водоотведения Sabesp вымогатели из RansomHouse запросили 6 млрд $. Учитывая, что компания обеспечивает водой 26,7 млн человек (60% населения штата Сан-Паулу), приостановка ее деятельности имела критическое значение для всей страны.

Рисунок 28. Объявление группировки RansomHouse о требовании выкупа за данные компании Sabesp
Рисунок 28. Объявление группировки RansomHouse о требовании выкупа за данные компании Sabesp

Данные промышленных компаний особенно ценны, поскольку их шифрование приводит к приостановке технологических процессов и производства, вследствие чего компании терпят огромные убытки.

Годовой доход бразильского подразделения Toyota группировка Hunters оценила в 1,6 млрд $. Скомпрометированная информация включала сведения о сетевой инфраструктуре, внутренний документ по безопасности, контракты компании, финансовую информацию, а также информацию, составляющую коммерческую тайну.

Рисунок 29. Объявление группировки Hunters с требованием выкупа за данные бразильского подразделения Toyota
Рисунок 29. Объявление группировки Hunters с требованием выкупа за данные бразильского подразделения Toyota

Шифровальщики остаются одной из наиболее актуальных киберугроз не только для Бразилии и Латинской Америки, но и для всего мира. Для Бразилии как для страны, претерпевающей цифровую трансформацию, темп которой опережает скорость обучения населения кибергигиене и скорость подготовки достаточного количества квалифицированных специалистов по кибербезопасности, первостепенной задачей является обеспечение качественного уровня защиты информационной инфраструктуры от киберугроз. 

Выводы и прогнозы

Для технического и цифрового развития Бразилии сегодня характерно значимое противоречие: высокая скорость цифровизации всех отраслей деятельности и большое количество цифровых услуг, предоставляемых населению, как государственных, так финансовых и медицинских, сопровождается низким уровнем цифровой грамотности населения по сравнению с другими странами.

Это противоречие порождается недостаточностью нормативных и образовательных мер по кибербезопасности, реализуемых в стране, и оказывает огромное влияние не только на население, уязвимое перед лицом киберугроз, но и на государство и бизнес, чья информационная инфраструктура и переведенная «в цифру» информация слабо защищены от современных киберугроз. В ближайший год в Бразилии не ожидается снижения доли утечек конфиденциальной информации.

Развитие цифрового ландшафта Бразилии отчасти находит свое отражение на теневых рынках киберпреступных услуг, которые также претерпевают трансформацию. Мы предполагаем, что для теневых рынков следует ожидать следующих тенденций:

  1. Продолжение укрепления сервисной модели и расширения спектра киберпреступных услуг, снижающих требования к квалификации злоумышленников.
  2. Увеличение доли кардинга и фишинга за счет активной цифровизации финансовой отрасли.
  3. Сохранение стабильно высокой доли атак на госучреждения и сопровождающих их объявлений на теневых форумах, причем, как и сейчас, разноплановых: от продажи баз данных и документов до раздачи уязвимостей для государственных сайтов и порталов.
  4. Рост числа атак на биометрические системы аутентификации, что подчеркивается, с одной стороны, инвестициями в эту отрасль и активным ростом рынка, а с другой — тенденцией к продаже фото и видео жителей страны. Эти данные могут быть использованы для обхода систем биометрической защиты, а также для реализации таргетированных атак.
  5. Продолжение тенденции к разделению труда в части доступов к инфраструктуре бразильских организаций, сопровождаемой преобладанием доли продаваемых доступов над долей раздаваемых бесплатно.
  6. Сохранение высокой активности группировок вымогателей, публикующих на теневых форумах объявления об успешной реализации кибератак, стоимости и сроках выплаты выкупа для жертв.

Рекомендации

Рекомендации по повышению уровня киберзащищенности в Бразилии носят комплексный характер и требуют единовременного сочетания организационных, технических и социальных мер:

  1. Развития нормативно-правовой базы в области кибербезопасности, в том числе направленного на унификацию стандартов и привлечение квалифицированных специалистов по кибербезопасности.
  2. Определения недопустимых событий, позволяющих сосредоточиться на проблемах и рисках, характерных для отдельных отраслей и в дальнейшем компаний, выявить наиболее ценные ресурсы и сконцентрировать на них усилия по защите.
  3. Внедрения современных комплексных решений по защите от киберугроз, в частности рекомендуется использовать сканеры уязвимостей, обладающие обширной и регулярно обновляемой базой уязвимостей и способные приоритизировать их по уровню опасности, в сочетании с NTA-решениями, которые анализируют сетевой трафик и выявляют попытки вторжения злоумышленников в инфраструктуру.
  4. Обновления и развития образовательных программ по кибербезопасности для подготовки более высококвалифицированных специалистов, способных обеспечить защиту инфраструктур, адекватную современным киберугрозам.
  5. Повышения уровня цифровой грамотности населения страны, включая не только специалистов, работающих в области кибербезопасности, но и обычных пользователей.

Об исследовании

Данные и выводы, представленные в этом отчете, основаны на собственной экспертизе Positive Technologies, а также анализе общедоступных ресурсов, включая публикации правительственных и международных организаций, научно-исследовательские работы и отраслевые доклады.

По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание организаций и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

В нашем отчете каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная, а не как несколько атак. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.

Наша база инцидентов регулярно обновляется. Следует отметить, что информация о некоторых инцидентах может поступать в сеть значительно позже фактического времени кибератаки. Таким образом, данные, представленные в этом исследовании, актуальны на момент его публикации.