Positive Technologies

Страны Персидского залива как товар на рынке преступных киберуслуг (анализ 2023–2024 годов)

Страны Персидского залива как товар на рынке преступных киберуслуг (анализ 2023–2024 годов)

Анастасия Чурсина

Анастасия Чурсина

Аналитик группы исследования дарквеб-угроз Positive Technologies

Введение

Нелегальные площадки на теневом рынке предоставляют множество товаров и услуг для проведения успешной кибератаки: доступы в инфраструктуру компаний, учетные данные пользователей, утекшие базы данных, вредоносное ПО и другое. Развитие такого бизнеса повлекло увеличение числа атак на компании, так как даже низкоквалифицированный хакер получил возможность легкого входа в мир киберпреступности. В рамках исследования угроз информационной безопасности мы постоянно отслеживаем активность киберпреступников на теневых форумах дарквеба. Это позволяет оценить потенциальные цели и интерес злоумышленников к определенным системам и отраслям.

В этом отчете мы проанализируем интересы хакеров и рынок преступных киберуслуг для стран Персидского залива в 2023–2024 годах, выделим наиболее популярные темы обсуждений и отрасли, проанализируем стоимость предоставляемых товаров и услуг.

Ключевые тренды

  • Среди исследованных сообщений наибольший интерес для злоумышленников представляют ОАЭ (40% сообщений) и Саудовская Аравия (26% сообщений).
  • Хактивисты активно атакуют госсектор региона с целью получения конфиденциальных данных и приостановки деятельности. Среди всех сообщений в дарквебе для региона 21% связан с государственными учреждениями.
  • Наибольшее количество сообщений на форумах связано с обсуждением категорий «данные» (33%) и «доступы» (21%).
  • Бесплатное распространение данных увеличилось почти в 2 раза (59%) в сравнении с аналогичным периодом из нашего прошлого исследования. Это позволяет злоумышленникам обогащать профили потенциальных жертв для целенаправленных атак.
  • Геополитическая напряженность на Ближнем Востоке порождает волну атак хактивистов в исследуемом регионе. В первом полугодии 2024 года количество DDoS-атак выросло на 70% в сравнении с аналогичным периодом 2023 года.
  • 70% всех продаваемых доступов можно купить менее чем за 1000 $.

Методика исследования

В ходе исследования было проанализировано 380 телеграм-каналов и форумов в дарквебе с общим количеством пользователей 65 439 984 и общим числом сообщений 277 469 655. В выборку попали крупнейшие разноязычные теневые площадки с различной тематической направленностью.

Для исследования рассматривался период с января 2023 года по конец июня 2024 года.

В подробном анализе изучались сообщения, связанные со странами Персидского залива: ОАЭ, Саудовская Аравия, Бахрейн, Оман, Катар, Кувейт.

Сообщения анализировались по следующим категориям:

  • Данные — персональные данные, учетные данные пользователей, конфиденциальная документация компаний.
  • Доступы — данные для несанкционированного доступа к устройству или сервису в инфраструктуре компании.
  • Спам-рассылки — инструменты и данные для массовой рассылки СМС-сообщений, электронных писем и для телефонных звонков.
  • Обналичивание средств — предоставление услуг по обналичиванию средств.
  • Кардинг — информация о банковских картах.
  • DDоS-атака — инструментарий, призывы к выполнению и заявления хакерских группировок об успешных DDoS-атаках.
  • Оповещения о взломе — заявления хакерских группировок об успешных атаках.
  • Документы — услуги по изготовлению фальшивых документов.
  • Мошенничество — поиск людей и схем для мошенничества.
  • Перенаправление трафика — переход на фишинговые сайты и скачивание вредоносных файлов.
  • Фишинг — разработка, покупка или продажа сайтов и проектов для получения доступа к конфиденциальным данным пользователя.

Далее в исследовании информация без уточнения конкретной страны относится к данным по региону Персидского залива.

На что нацелены злоумышленники в дарквебе

Страны Персидского залива — высокотехнологичное сообщество, отличающееся высокими темпами цифровизации и высоким уровнем жизни, активным развитием экономики и технологической отрасли. Согласно данным Global Finance, ОАЭ в списке самых технологичных стран занимают 18 место в мире и 2 место на Ближнем Востоке. Исследуемый регион также является одним из самых значимых в нефтедобывающей промышленности — Саудовская Аравия и ОАЭ входят в топ-10 стран мира по объемам добываемой в день нефти. Наш опыт показывает, что сочетание этих факторов делает регион привлекательным для злоумышленников. Ежедневно организации государственного сектора ОАЭ предотвращают 50 000 кибератак.

Анализ объявлений и сообщений на тематических теневых площадках в дарквебе показал, что наибольший интерес для злоумышленников представляют ОАЭ (40%) и Саудовская Аравия (26%). Большая доля сообщений, связанная с этими странами, может объясняться несколькими причинами. Во-первых, ОАЭ и Саудовская Аравия отличаются активным привлечением иностранных инвесторов и компаний, активностью местных фондов, а также легкостью ведения бизнеса. К 2031 году ОАЭ планирует вырастить 20 стартап-проектов со стоимостью каждого более 1 млрд долларов. Помимо этого, геополитическая напряженность Ближнего Востока порождает волну атак хактивистов — злоумышленников, главной целью которых является привлечение внимания общественности к определенным вопросам при помощи разного рода кибератак в зависимости от уровня подготовки киберпреступников (это могут быть DDoS-атаки, дефейсы веб-сайтов, атаки на инфраструктуру компаний). В июле 2024 года один банк в ОАЭ был подвержен шестидневной DDoS-атаке, организованной хактивистской группировкой.

Рисунок 1. Доля сообщений на теневых площадках по странам Персидского залива

Наиболее популярные категории на теневых площадках в исследуемом регионе — это данные (33% сообщений) и доступы (21% сообщений). Подробнее об этих категориях мы расскажем ниже.

Рисунок 2. Доля сообщений на теневых площадках по категориям

Сообщения о DDоS-атаках (10%) и взломах (2%) содержат призывы или заявления хакерских группировок об успешном проведении атаки на определенную организацию региона с подтверждением результата.

Рисунок 3. Сообщение об успешной DDoS-атаке

Рисунок 3. Сообщение об успешной DDoS-атаке

Предложения в категории кардинг (10%) могут содержать следующие данные: номер карты, год и месяц окончания действия карты, CVV-код, данные держателя карты, адрес, номер телефона и электронную почту. Такие данные используются для вывода денежных средств с банковской карты с помощью различных мошеннических схем. Стоимость набора данных и способ вывода денежных средств зависят от данных из набора, банка держателя карты и страны. Стоимость набора данных одной банковской карты начинается от 30 $. Также есть предложения оплаты таких наборов процентом от выведенной с них суммы (от 30%).

Рисунок 4. Объявление о продаже данных банковских карт

Рисунок 4. Объявление о продаже данных банковских карт

Имеются объявления о продаже поддельных идентификационных карт, водительских прав, дипломов, срочных приглашений на въезд в другие страны, банковских выписок и счетов за коммунальные услуги. Некоторые предложения содержат услуги по отрисовке документов — внесение изменений в бланки документов (например, паспортов) с помощью графических редакторов. Минимальная цена — от 10 $ за отрисовку документа. Цена и сроки изготовления зависят от сложности заказа. Такие документы могут быть использованы для верификации личности в разных сервисах, например в букмекерских конторах (Bet365), электронных системах для денежных переводов (Skrill, Stripe), онлайн-казино.

Рисунок 5. Объявление о продаже поддельных документов

Рисунок 5. Объявление о продаже поддельных документов

Для массовой рассылки СМС-сообщений и электронных писем продаются базы номеров телефонов и адресов электронной почты. Они могут быть разбиты по интересам и увлечениям пользователей для таргетированной рассылки. Средняя цена за 1000 строк — 2 $.

Рисунок 6. Объявление о продаже данных для спама

Рисунок 6. Объявление о продаже данных для спама

Услуга перенаправления трафика (5% сообщений) обеспечивает переход пользователей на определенный сайт, например фишинговый сайт или сайт с ВПО. Трафик может быть таргетированным, то есть направленным на пользователей с определенными интересами. Шесть из десяти сообщений этой тематики содержат запросы на покупку трафика в исследуемом регионе. Это отражает заинтересованность покупателей в вовлечении пользователей из этого региона в свои мошеннические схемы, в том числе связанные с криптовалютой. 

Рисунок 7. Объявление о покупке перенаправления трафика

Рисунок 7. Объявление о покупке перенаправления трафика

Услугой обналичивания (4% сообщений) злоумышленники пользуются для вывода денежных средств, полученных в результате успешных хакерских атак, мошеннических схем, кардинга и т. д. Обналичивание может быть выполнено с использованием различных сервисов, которые принимают денежные переводы на банковские карты. В случаях, когда для дальнейшего снятия денежных средств требуется подтверждение личности, злоумышленники могут прибегать к услугам подставных лиц, готовых за вознаграждение снять деньги из банкомата или зарегистрировать на свое имя юридическое лицо.

Рисунок 8. Объявление с предложением обналичивания денежных средств

Рисунок 8. Объявление с предложением обналичивания денежных средств

Встречаются объявления о продаже мошеннических схем и методов (1%), средняя стоимость которых составляет 200 $. Разработка фишинговой страницы в среднем стоит 150 $, цена готового проекта начинается от 200 $. Такие услуги позволяют злоумышленникам получать персональные и учетные данные, а также доступ к устройству пользователя.

Рисунок 9. Объявление о продаже готовых фишинговых проектов

Рисунок 9. Объявление о продаже готовых фишинговых проектов

Злоумышленников привлекают данные

Общая статистика проанализированных сообщений показывает, что каждое третье объявление — это объявление о продаже, покупке или бесплатной раздаче данных. Более чем в половине изученных сообщений (59%) данные раздаются бесплатно. Бесплатно распространять данные могут группы вымогателей, когда жертва отказалась выплачивать выкуп, а также местные хактивисты, главная цель которых не финансовая выгода, а привлечение внимания общественности к политическим проблемам путем проведения различного рода атак.

Рисунок 10. Доля сообщений категории «Данные» по типу

В объявлениях о продаже данных (33%) предлагаются в основном базы данных, утекших из крупных торговых компаний. Средняя стоимость базы данных составляет 2 300 $. Объявления о покупке (8%) содержат запросы на базы данных в конкретных отраслях. Часть таких запросов может отражать интерес и нацеленность киберпреступников на компании из определенной сферы. Так, большое количество запросов на покупку баз данных в регионе связано с финансовыми учреждениями (40%), отраслью торговли (20%), госучреждениями (16%) и промышленностью (12%).

Рисунок 11. Распределение сообщений с запросом на покупку баз данных по отраслям

Рисунок 12. Объявление с запросом на покупку базы данных

Рисунок 12. Объявление с запросом на покупку базы данных

Также в этой категории мы рассмотрели публикации баз данных, содержащих корпоративные данные, группами вымогателей (киберпреступными группировками, использующими программы-вымогатели в хакерских атаках). Наибольшее количество таких публикаций пришлось на ОАЭ (65%) и Саудовскую Аравию (25%). Наиболее интересными для групп вымогателей были компании из сферы услуг (26%) и промышленности (22%). В случае отказа компании от выплаты выкупа за неразглашение конфиденциальных данных злоумышленники публиковали такую информацию в открытом доступе.

Рисунок 13. Сообщение от вымогателей с опубликованными данными одной из компаний ОАЭ

Рисунок 13. Сообщение от вымогателей с опубликованными данными одной из компаний ОАЭ

Спросом пользуются доступы

Второй по популярности товар на теневых ресурсах для исследуемого региона — доступы к информационным ресурсам компаний (21% сообщений). Доступ может быть использован киберпреступниками как первоначальная точка входа во внутреннюю инфраструктуру компании для дальнейшего развития атаки.

Рисунок 14. Доля сообщений категории «Доступ» по типу

Доля сообщений о продаже доступов составляет 85%. Большая часть предложений (25%) связана с отраслью торговли, со сферой услуг (21%) и промышленностью (14%).

Рисунок 15. Доля сообщений о продаже доступов по отраслям

Спрос на доступы к компаниям из сфер торговли и услуг может объясняться несколькими причинами. Во-первых, базы данных имеют свойство устаревать. Доступы к таким компаниям позволяют злоумышленникам на постоянной основе получать свежие данные для достижения различных целей. Во-вторых, при оплате товаров в интернет-магазинах пользователи вводят данные банковских карт, которые злоумышленник может перехватить и использовать в мошеннических схемах. Ранее мы отмечали, что в 2023 году были популярны атаки типа MageCart (кибератаки с кражей данных платежных карт) в сфере электронной коммерции. Компрометация сайтов происходила через использование уязвимостей в таких CMS-системах, как WordPress, Magento и OpenCart. В IV квартале 2023 года в общем объеме похищенной информации выросла доля данных платежных карт (до 5% в атаках на организации и до 16% в атаках на частных лиц). Данные похищались через внедрение вредоносных скриптов.

Доля объявлений о покупке доступов (6%) значительно ниже, чем о продаже. Это может говорить о том, что рынок доступов содержит достаточное количество предложений, а киберпреступники имеют возможность выбрать подходящий им вариант из существующих. Объявления о покупке содержат запросы на доступ к торговым и промышленным компаниям, а также к госучреждениям.

Оставшаяся часть сообщений (9%) содержит посты о бесплатной раздаче доступов в инфраструктуры компаний региона и принадлежит хактивистами. Раздача доступов — новая тенденция для региона, появившаяся во втором полугодии 2023 года. Большая часть раздаваемых доступов (70%) содержала учетные данные сотрудников государственных учреждений.

Рисунок 16. Сообщение о раздаче доступа в госучреждение Саудовской Аравии

Рисунок 16. Сообщение о раздаче доступа в госучреждение Саудовской Аравии

В случаях раздачи уже мог быть реализован доступ (выгружена конфиденциальная информация, выполнены деструктивные действия, остановлены бизнес-процессы) и подготовлена запасная точка доступа во внутреннюю инфраструктуру. В таком случае раздача доступа выполнялась с целью подтверждения факта взлома и подрыва доверия к органам государственного управления.

Сохранение доступа или создание запасной точки доступа в инфраструктуру компании позволяют осуществить дальнейшее развитие атаки или ее повторную реализацию спустя время. Так, на рисунке 17 показано сообщение команды хактивистов о завершенном процессе выгрузки данных и документов госучреждения. При этом сохранение доступа позволило им не только повторно просматривать данные с устройств пользователей, но и развить атаку: было выполнено получение доступа к другим системам ведомства.

Рисунок 17. Сообщение с информацией о результате атаки

Рисунок 17. Сообщение с информацией о результате атаки

На теневых ресурсах продаются доступы различного типа. Почти каждое второе объявление (45%) содержало предложение доступа с подключением по протоколам VPN или RDP. Также существенную долю (15%) занимает продажа доступов с возможностью подключения при помощи программ удаленного доступа, таких как AnyDesk, ScreenConnect, Citrix, RDWeb.

Тип «Mail» позволяет получить доступ к почтовому серверу или электронной почте конкретного сотрудника компании. В этом случае злоумышленник имеет возможность ознакомиться с конфиденциальной информацией и электронными письмами. При этом если злоумышленник получил доступ к почте конкретного сотрудника, то для дальнейшей реализации атаки на эту компанию ему необходимо получить непосредственный доступ в ее инфраструктуру. Например, при помощи фишинговой атаки от лица сотрудника организации, электронная почта которого была скомпрометирована. Также такая почта может быть использована для фишинговой атаки на клиентов и контрагентов компании.

Злоумышленники используют всевозможные способы подключения к внутренним ресурсам компании. Так, категория «Другие» включает в себя следующие варианты подключений: к платформам для интернет-магазинов (Magento, WordPress), базам данных и системам управления базами данных (MySQL, phpMyAdmin), POS-системам, веб-консолям (cPanel), программным интерфейсам (API).

Рисунок 18. Типы доступов, представленных в дарквебе

Каждый доступ предоставляется с определенными привилегиями в системе. Наиболее распространенные — с правами локального администратора (54%) и администратора домена (26%). Доступ с правами администратора домена позволяет злоумышленнику получить доступ ко всем компьютерам и серверам, входящим в домен, что позволит развивать атаку на критически важные системы компании. Доступ с правами локального администратора предоставит полный доступ только к одному компьютеру или серверу.

Доля объявлений о доступах с пользовательскими правами составляет 20% и подразумевает самостоятельное повышение привилегий в системе. Повышение привилегий расширяет возможности для выполнения различных действий на атакованном узле. От этого зависит дальнейшее развитие и результат атаки. Такого вида доступ может заинтересовать продвинутого злоумышленника, обладающего необходимыми профессиональными знаниями и навыками.

Рисунок 19. Привилегии доступов, представленных в дарквебе

Стоимость 70% продаваемых доступов не превышает 1000 $. По самой низкой цене (15 $) продается доступ к сети университета. Однако имеются и дорогостоящие предложения, в которых речь идет о крупных компаниях с большим оборотом. Например, в одном из объявлений продается доступ к инфраструктуре банка в ОАЭ с правами администратора домена со стартовой ценой — 25 000 $.

Рисунок 20. Распределение стоимости доступов

Рисунок 21. Объявление о продаже доступа с привилегиями администратора домена

Рисунок 21. Объявление о продаже доступа с привилегиями администратора домена

Отраслевая специфика

Больше всего сообщений, связанных с исследуемым регионом, относится к следующим отраслям: госучреждения (21%), торговля (16%), сфера услуг (15%) и финансовые организации (13%).

Рисунок 22. Доля сообщений на теневых площадках по отраслям

Государственные учреждения региона стали одной из основных целей атакующих. Основные последствия атак на госучреждения — утечки конфиденциальных данных и нарушение деятельности госучреждений.

Большая часть данных (63%), связанных с госучреждениями региона, была опубликована бесплатно в ходе атак хактивистов. В первую очередь киберпреступники стремятся получить и украсть такую ценную информацию, как сведения государственной важности, официальные переписки и переписки с представительствами других государств, концепции развития, договоры и соглашения. Хактивисткая группировка Altoufan Team в результате атаки на американский объект, расположенный в исследуемом регионе, получила доступ к переписке и электронной почте организации. Хактивисты объяснили свои действия поддержкой одной из сторон политического конфликта на Ближнем Востоке. Раскрытие важных конфиденциальных данных может повлиять как на принятие политических решений, так и на имидж страны на международном уровне.

Рисунок 23. Сообщение о результатах атаки на госучреждение

Рисунок 23. Сообщение о результатах атаки на госучреждение

Хакерские группировки на фоне геополитических конфликтов активно проводили кампании с целью нарушения деятельности госучреждений — осуществляли призывы к DDoS-атакам и взломам. Результаты успешных атак хактивисты публиковали с подтверждением вывода информационных систем из строя, дефейсов или с раздачей украденных данных. Каждая успешная атака максимально освещалась не только группой хактивистов, которые ее совершили, но и другими группировками, разделяющими их позицию.

При этом стоит отметить, что рост количества таких призывов начался в IV квартале 2023 года и тогда же достиг своего максимума. Такие изменения были связаны с обострением военно-политической обстановки в странах Ближнего Востока в тот период. В 2024 году тема DDoS-атак остается актуальной, и количество сообщений, связанных с этой тематикой, за первое полугодие 2024 года увеличилось на 70% в сравнении с аналогичным периодом 2023 года.

Помимо госучреждений, хактивисты атаковали финансовую и транспортную отрасли. Результаты успешных атак на эти отрасли могут повлиять на доступность банковских и транспортных систем, привести к нарушению бизнес-процессов и логистики, а также к финансовым потерям.

Рисунок 24. Сообщение об успешной DDoS-атаке на финансовое учреждение

Рисунок 24. Сообщение об успешной DDoS-атаке на финансовое учреждение

Отрасль торговли (16% сообщений), сфера услуг (15% сообщений) и финансовые учреждения (13%) привлекают атакующих возможностью получения персональных данных пользователей. При этом более чем в 70% объявлений злоумышленники распространяли данные торговых компаний бесплатно, что повышает риски для клиентов таких компаний. Как мы отмечали ранее, распространение онлайн-торговли дает возможность злоумышленникам успешно проводить атаки на торговые компании за счет недостаточного уровня защищенности организаций, слабой парольной политики, уязвимостей в программных продуктах. Базы данных торговых компаний не всегда могут содержать информацию, которая в первую очередь интересует киберпреступников, например учетные данные или данные банковских карт. Такие базы могут быть опубликованы бесплатно как подтверждение успешной атаки и для повышения рейтинга на теневых форумах. Злоумышленники могут использовать такие данные для атаки на частных лиц, например для получения финансовой выгоды путем реализации различных мошеннических схем. Помимо этого, такие данные могут активно применяться для атак на компании в фишинговых рассылках и социальной инженерии.

Чем больше данных утекает в сеть, тем больше возможностей для их использования у киберпреступников. Например, они могут агрегировать утекшие базы данных и сводить вместе информацию о месте проживания и работе, интересах и увлечениях, банковских картах и счетах, имуществе, а также паспортные, медицинские и водительские данные. Это позволит проводить не просто массовую атаку, а целенаправленную, вероятность успеха которой значительно выше.

В одном из наших исследований мы рассказывали о наиболее популярных сценариях использования персональных данных злоумышленниками.

Рисунок 25. Объявление о продаже базы данных торговой компании

Рисунок 25. Объявление о продаже базы данных торговой компании

Выводы и рекомендации

Страны Персидского залива отличаются высокими темпами цифровизации, активным развитием экономики и высоким уровнем жизни населения. То, что этот регион ассоциируется с финансовым достатком, а также геополитическая напряженность в регионе делают его привлекательной целью для кибератак.

На теневых форумах в дарквебе представлены разнообразные предложения и услуги для этого региона. Так, большое количество сообщений, связанных с продажей доступов, а также их низкая стоимость облегчают злоумышленникам процесс получения первичного доступа к компании и позволяют провести атаку без затрат времени на поиск новых точек входа в инфраструктуру организации. Новая тенденция раздачи доступов хактивистами дает шанс неопытным хакерам провести успешную атаку для привлечения внимания общественности к определенным социальным и политическим вопросам.

Большое количество свободно распространяемых баз данных грозит увеличением атак на частных лиц и модернизацией мошеннических схем. Агрегирование таких данных позволяет обогащать информацию о потенциальных жертвах и проводить целенаправленные атаки на сотрудников различных учреждений с использованием фишинга и социальной инженерии.

Все это может привести к росту числа успешных атак на организации региона. Для предотвращения кражи ценных данных и разглашения информации государственной значимости, нарушения и остановки бизнес-процессов, финансовых и репутационных потерь, пропаганды с целью влияния на общественное мнение следует выстраивать комплексную защиту и обеспечивать результативную кибербезопасность с учетом тенденций на теневом рынке и новейших методик проведения кибератак. Подход к выстраиванию защиты, основанный на идее результативной кибербезопасности, позволит исключить возможность реализации недопустимых событий1 и нанесение компании неприемлемого ущерба. Недопустимые события определяются на уровне топ-менеджмента организации с учетом специфики ее деятельности и бизнес-процессов.

1События, которые наступают в результате кибератаки и блокируют достижение операционных и (или) стратегических целей организации или приводят к значительному нарушению ее основной деятельности.

При выстраивании защиты следует применять решения класса SIEM (security information and event management) и XDR (extended detection and response), которые обеспечат сбор и анализ событий безопасности из различных источников и централизованное реагирование на обнаруженные угрозы. Применение метапродукта MaxPatrol O2 позволит обнаруживать злоумышленника, определять захваченные ресурсы и прогнозировать развитие атаки с учетом недопустимых для компании событий, что повысит эффективность мониторинга и реагирования на события безопасности. Для защиты периметра необходимо применять межсетевые экраны нового поколения NGFW (next generation firewall) с широким спектром функций. Решения класса WAF (web application firewall) минимизируют риск утечки информации путем блокировки атак на веб-приложения, атак нулевого дня и DDoS уровня 7 и защищают от угроз из списка OWASP Top 10. Решения класса VM (vulnerability management) обеспечат контроль появления новых уязвимостей на периметре и их оперативное устранение. Применение решений NTA (network traffic analysis) и песочниц повысит эффективность защиты путем обнаружения атак на ранних стадиях.