Крупные взломы форумов в дарквебе спровоцировали массовый переход кибермошенников в мессенджеры
Специалисты Positive Technologies проанализировали1 публикации на киберпреступную тематику в каналах и чатах Telegram. Исследование показало, что большинство сообщений в мессенджере посвящены компрометации пользовательских данных, в том числе их покупке и продаже. Рекордное число сообщений на хакерскую тематику эксперты зафиксировали во II квартале.
Согласно исследованию Positive Technologies, число постов киберпреступников в Telegram начало заметно увеличиваться с 2020 года, а в 2021 году активность пользователей в тематических каналах и группах возросла в 3,5 раза. Во II квартале 2022 года специалисты отмечают рекордное количество постов на хакерскую тематику — более 27 тысяч, что в 2,5 раза больше, чем во II квартале прошлого года. Эксперты объясняют такой рост возможным массовым переходом пользователей киберпреступных форумов в мессенджеры. Это произошло после того, как в 2020–2021 годах было выявлено множество критически опасных уязвимостей в форумных движках2, а в 2021 году произошло несколько крупных взломов форумов, что также могло спровоцировать отток их аудитории.
Большинство проанализированных сообщений связаны с пользовательскими данными, в том числе с торговлей ими и мошенническими операциями (52%), далее в статистике расположились посты на тему киберпреступных услуг (29%) и распространения вредоносного программного обеспечения3 (15%). Среди вредоносов самыми востребованными оказались программы для удаленного управления (30%), а также стилеры4 (16%). Самым популярным стилером стал RedLine, о котором специалисты компании говорили в исследовании актуальных киберугроз за I квартал 2022 года. Упоминания о RedLine встречаются более чем в 18% сообщений на тему ВПО: это многочисленные обсуждения функций, продажа и раздача исходного кода ВПО, а также информации, собранной с помощью стилера. Кроме того, в Telegram обсуждают такие стилеры, как Anubis, SpiderMan, Oski Stealer, Loki Stealer. Их стоимость может составлять от 10 до 3500 $.
Эксперты отмечают, что на цену готового ВПО влияют тип вредоноса, его функциональные возможности, а также сроки использования программы5. Например, инструменты для обфускации (запутывания кода) могут стоить от 20 до 100 $, а ботнет или руководство по его созданию — до 750 $. Стоимость майнера колеблется от 10 до 1000 $: за 10 $ можно приобрести достаточно простое ВПО с ограниченными возможностями, а за 1000 $ — исходный код инструмента с широким набором функций, включая обход антивирусных программ и возможность заражения системы без привилегий администратора.
Согласно результатам исследования, 66% сообщений на тему киберпреступных услуг составляют обсуждения обналичивания денежных средств, например вывод криптовалют. DDoS-атаки оказались вторыми по популярности, составив 16% сообщений в этой теме. Еще около 9% постов — это предложения услуг по взлому ресурсов; эти услуги включают в себя кражу почтовых аккаунтов и аккаунтов в социальных сетях, а также взлом веб-сайтов и серверов.
По данным аналитиков Positive Technologies, каждое пятое сообщение на тему DDoS-атак — это объявление о продаже услуг. Стоимость проведения DDoS-атаки зависит от ее продолжительности: за час цена составит 8 $, а неделя атаки обойдется в 200 $ и более. В I квартале, когда наблюдался рост числа атак на веб-ресурсы организаций, количество сообщений на тему DDoS-атак увеличилось в четыре раза. Это подтверждает выводы о том, что активность злоумышленников в мессенджере отражает тренды кибератак.
Сообщения об услугах по взлому аккаунтов «ВКонтакте», Telegram, WhatsApp, Viber и других социальных сетей и мессенджеров составляют 72% от общего числа публикаций о взломе ресурсов. Компрометация аккаунта «ВКонтакте» может стоить от 10 до 50 $. Мессенджеры обойдутся дороже: например, взлом профиля в Telegram, Viber и WhatsApp может стоить от 350 $. При этом стоимость компрометации корпоративного аккаунта существенно выше: за нее хакеры могут запросить не менее 200 $, когда за взлом личного почтового аккаунта берут 100 $.
Значительную часть всех сообщений на тему компрометации защищенной информации составляют посты, где фигурируют персональные (43%) или учетные (42%) данные: это объявления о покупке или продаже личных сведений, об услугах по фальсификации документов, обсуждения утечек.
«В 2021 году компрометации учетных записей была посвящена практически половина всех сообщений, но в первом полугодии 2022 года преобладающей стала тема документов, персональных данных и услуг, связанных с ними (71%), — отмечает аналитик Positive Technologies Екатерина Семыкина. — Число сообщений на эту тему существенно выросло во II квартале: на фоне многочисленных атак и утечек, замеченных в I квартале, возросло число услуг, связанных с предоставлением украденных из учреждений копий документов. Так, 28% сообщений на эту тему составляют объявления о продаже данных и предоставлении услуг, связанных с данными (например, о подделке документов, изготовлении электронной подписи), а каждое десятое сообщение посвящено их покупке».
Больше всего сообщений на тему учетных данных посвящено продаже аккаунтов стриминговых платформ, социальных сетей, криптобирж, брокерских контор. Так, аккаунт Spotify может стоить 5 $, а премиум-аккаунт Netflix с подпиской на год — от 10 $.
В исследовании также говорится о популярности в Telegram услуг спама и массовой рассылки. Чаще всего предлагают SMS-спам (54% сообщений на эту тему), немного реже — спам по электронной почте (32%). Цены обычно рассчитываются в зависимости от длительности рассылки или от количества сообщений. Например, средняя стоимость для одного почтового адреса — около 50 рублей за час спама или за 1000 писем.
- В итоговую выборку вошли более 120 тысяч сообщений на русском и английском языках, опубликованные в более 300 публичных каналов и групп в Telegram в период с начала 2019 года по II квартал 2022 года включительно. В них обсуждались ВПО, уязвимости и эксплойты, доступы к корпоративным сетям, данные пользователей и преступные киберуслуги: взлом ресурсов, обналичивание средств, распространение ВПО, спам-рассылки, DDoS-атаки.
- vBulletin (CVE-2020-17496, CVE-2020-25121), XenForo (CVE-2021-43032), IP-Board (CVE-2021-39249), MyBB (CVE-2021- 27890, CVE-2021-43281).
- Вредоносное программное обеспечение (ВПО) — программа, предназначенная для несанкционированных действий на устройстве, как правило, для нанесения ущерба его владельцу.
- ВПО, предназначенное для кражи информации.
- ВПО часто продается по подписке с фиксированным временем доступа или поддержки.