Positive Technologies

Взгляд на Индию через дарквеб: на что нацелены хакеры

Взгляд на Индию через дарквеб: на что нацелены хакеры

PT Dephaze: думает как хакер, действует как пентестер

Узнай все о новом продукте Positive Technologies для автоматического тестирования на проникновение

Анастасия Чурсина

Анастасия Чурсина

Аналитик группы исследования дарквеб-угроз Positive Technologies

Введение

Теневые площадки дарквеба предлагают большое количество товаров и услуг: хакеры продают доступы к ресурсам компаний, бесплатно распространяют утекшие базы данных, разрабатывают вредоносное ПО под определенные цели, используют полученные данные для мошенничества и др. Разнообразие услуг дарквеба позволяет провести успешную кибератаку не только злоумышленникам с высокими профессиональными навыками, но и низкоквалифицированным хакерам — обеспечивает легкий вход в киберпреступный мир. В рамках исследования угроз информационной безопасности мы постоянно отслеживаем активность киберпреступников на теневых форумах. Это позволяет прогнозировать цели злоумышленников и оценивать их интерес к определенным странам, отраслям и системам.

В этом отчете мы проанализируем интересы хакеров и рынок преступных киберуслуг для Индии в 2023–2024 годах, выделим наиболее популярные темы обсуждений и наиболее привлекательные для злоумышленников отрасли, рассмотрим стоимость предоставляемых товаров и услуг.

Методика исследования

В ходе исследования было проанализировано 380 телеграм-каналов и форумов в дарквебе с общим количеством пользователей 65 млн и общим числом сообщений 250 млн (изучались сообщения, связанные с Индией). В выборку попали крупнейшие разноязычные теневые площадки с различной тематической направленностью. Для исследования рассматривался период с 01.09.2023 по 01.10.2024.

Сообщения анализировались по следующим категориям:

  • Базы данных — утечки, содержащие персональные данные, учетные данные пользователей, конфиденциальную документацию компаний.
  • Доступы — данные для несанкционированного доступа к устройству или сервису в инфраструктуре компании.
  • Спам-рассылки — инструменты и данные для массовой рассылки СМС-сообщений, электронных писем и для телефонных звонков.
  • Кардинг — информация о банковских картах.
  • Документы — услуги по изготовлению фальшивых документов.
  • Перенаправление трафика — переход на фишинговые сайты и скачивание вредоносных файлов.
  • DDоS-атаки — сообщения хакерских группировок об успешных DDoS-атаках.
  • Взлом — сообщения хакерских группировок об успешных атаках.
  • Программы-вымогатели — сообщения хакерских группировок об успешных атаках с использованием программ-вымогателей.
  • Дефейсы — сообщения хакерских группировок об успешном проведении атаки с изменением главной веб-страницы.

Актуальные для Индии угрозы. Данные дарквеба

Индия — страна с высокими темпами цифрового развития, нацеленная на трансформацию экономики и модернизацию инфраструктуры. В 2024 году Индия стала третьей в топе стран по величине цифровой экономики. Использование цифровых инструментов во многих сферах жизни дало резкий толчок развитию бизнеса и предпринимательства. Помимо того, Индия активно развивает свой космический потенциал и инвестирует в космическую отрасль. В 2023 году Индия стала четвертой страной в мире, посадившей космический корабль на луну. Ежедневно «Индийская организация космических исследований» отражает более 100 кибератак. Все эти факторы делают исследуемый регион привлекательным для злоумышленников.

Анализ объявлений показал, что наиболее популярные темы на теневых площадках для Индии — это базы данных (42% сообщений) и доступы (23% сообщений).

Рисунок 1. Доля сообщений на теневых площадках по категориям

Объявления в теме «кардинг» (10%) могут содержать данные банковских карт: номер карты, срок действия, CVV, имя держателя карты, а также его адрес проживания, номер телефона и электронную почту. Злоумышленники используют такие данные в мошеннических схемах с последующим выводом денежных средств. Средняя стоимость набора (100 шт.) с данными индийских пользователей составляет 500 $.

Рисунок 2. Объявление о продаже данных банковских карт

Рисунок 2. Объявление о продаже данных банковских карт

Услуги по перенаправлению трафика обсуждались в 9% сообщений. Объявления содержали предложения по обеспечению перехода индийских пользователей на конкретный сайт, например фишинговый или содержащий вредоносные программы. Трафик может быть направлен на пользователей с определенными увлечениями и интересами.

В 7% сообщений обсуждалась продажа баз данных для спам-рассылок, базы содержали номера телефонов и адреса эл. почты. Помимо того, встречались сообщения с предложениями услуг дропов1 (5% сообщений) и предложения по изготовлению поддельных документов (4% сообщений).

1 Дропы — люди, оказывающие злоумышленникам услуги по получению денежных средств на банковские карты с целью последующего обналичивания.

Рисунок 3. Объявление о продаже данных для спама

Рисунок 3. Объявление о продаже данных для спама

Базы данных — самая популярная тема

Как мы отмечали ранее, Индия занимает третье место в рейтинге стран по количеству объявлений в дарквебе, связанных с утечками баз данных. Более чем в половине изученных сообщений (66%) базы данных распространяются бесплатно. Такая высокая доля бесплатного распространения баз данных связана с деятельностью хактивистов2, сфокусированных на этом регионе, и групп вымогателей, распространяющих конфиденциальные данные бесплатно в случае отказа жертвы от выплаты выкупа. Цель хактивистов — привлечь внимание общественности к политическим вопросам и проблемам путем проведения различного рода атак, например DDoS-атак, дефейсов веб-сайтов, атак на инфраструктуру компаний. В качестве подтверждения успешности атак и для повышения своей репутации они могут опубликовать полученные данные бесплатно.

2 Хактивисты — злоумышленники, главной целью которых является привлечение внимания общественности к определенным вопросам при помощи разного рода кибератак (в зависимости от уровня подготовки киберпреступников).

Рисунок 4. Назначение сообщений категории «базы данных»

Из всех бесплатно распространяемых баз данных 25% относились к научно-образовательным учреждениям и 20% — к финансовым. Образовательные организации могут привлекать внимание злоумышленников по разным причинам. Во-первых, такие организации обрабатывают и хранят конфиденциальную информацию о большом количестве студентов, учеников и сотрудников. Во-вторых, уровню защищенности образовательных организаций не всегда уделяется должное внимание, что делает их более легкой мишенью для атак злоумышленников.

Результаты успешных атак на финансовую отрасль могут привести к нарушению или приостановке деятельности организаций, а также к значительным денежным потерям.

Рисунок 5. Доля сообщений о раздаче баз данных по отраслям

Рисунок 6. Объявление о бесплатном распространении базы данных финансового учреждения

Рисунок 6. Объявление о бесплатном распространении базы данных финансового учреждения

Наибольшую долю (61%) в утечках баз данных составляют персональные данные клиентов и сотрудников компаний. Такие базы включают в себя ФИО, дату рождения, электронную почту, номер телефона, адрес проживания и данные документов, удостоверяющих личность. В апреле 2024 года один из индийских производителей электроники подвергся кибератаке, что повлекло за собой утечку 7,5 млн персональных данных клиентов. В 19% сообщений базы данных содержат учетные данные (логин и пароль) пользователей от различных сервисов. В 15% сообщений обсуждались утечки внутренних файлов компаний (конфиденциальной документации, исходного кода).

Рисунок 7. Типы данных из утекших баз

Объявления о продаже баз данных составляют 29%. В таких объявлениях предлагаются базы, утекшие из финансовых учреждений (24%), компаний из сферы услуг (17%) и отрасли торговли (10%).

В 40% объявлений стоимость баз данных не превышает 1000 $. Сообщения о продаже баз данных из среднего ценового диапазона составляют большую часть всех предложений — 50%.

Рисунок 8. Распределение стоимости баз данных

Рисунок 9. Объявление о продаже внутренних файлов индийской телекоммуникационной компании

Рисунок 9. Объявление о продаже внутренних файлов индийской телекоммуникационной компании

Объявления о покупке (5%) содержат запросы на получение баз данных конкретных отраслей. Такие запросы отражают интерес киберпреступников к компаниям из определенной сферы; основное количество запросов на покупку баз данных в регионе связано с финансовой отраслью (62%).

Рисунок 10. Объявление с запросом на покупку базы данных

Рисунок 10. Объявление с запросом на покупку базы данных

Доступы

Вторая по популярности тема в дарквебе для Индии — доступы к ресурсам компаний (23% сообщений). Доля сообщений о продаже доступов составляет 79%. Большая часть предложений (23%) связана с отраслью торговли, а также с финансовыми учреждениями (15%) и сферой услуг (12%).

Рисунок 11. Доля сообщений о продаже доступов по отраслям

Доля объявлений о покупке доступов совсем незначительна — 1%. Это может говорить о том, что рынок доступов к ресурсам компаний Индии содержит достаточное количество предложений и киберпреступники могут выбрать подходящий вариант из существующих. Объявления о покупке содержат запросы на получение доступов к финансовым и кредитным компаниям.

Доля бесплатной раздачи доступов в инфраструктуру компаний составляет 20%. Эти объявления связаны с деятельностью хактивистов на фоне геополитических конфликтов. Большая часть таких сообщений (41%) предлагает доступ в инфраструктуру научно-образовательных учреждений, а также государственных (35%) и медицинских (12%).

Рисунок 12. Распределение сообщений категории «доступы» по типу

Рисунок 13. Сообщение о раздаче доступа в госучреждение Индии

Рисунок 13. Сообщение о раздаче доступа в госучреждение Индии

Больше 60% продаваемых доступов стоят меньше 1000 $ — их могут приобрести даже хакеры с низкими финансовыми возможностями. Предложения с самой низкой стоимостью (50 $) содержат доступы к платформам интернет-магазинов. Есть и дорогостоящие предложения доступов к индийским финансовым организациям. Например, стоимость доступа к инфраструктуре банка с правами администратора и возможностью подключения к внутренним порталам, серверам для работы с банкоматами и мобильным приложениям начинается от 70 000 $.

Рисунок 14. Распределение стоимости доступов

Рисунок 15. Продажа доступа к индийскому банку

Рисунок 15. Продажа доступа к индийскому банку

Каждое второе объявление содержало предложение доступа с подключением к ресурсам компании по протоколам RDP (29%) или VPN (23%). Такие доступы продавцы могут получить в результате заражения устройств стилерами. Также существенную долю (22%) занимают доступы к системам управления контентом (CMS), таким как Magento и WordPress.

Рисунок 16. Типы доступов, представленных в дарквебе

Категория «другие» (11% доступов) включает различные варианты подключения к инфраструктуре компаний: к решениям для управления репозиториями (Bitbucket), платформам виртуализации (VMware ESXi), продуктам для управления проектами (Jira), решениям для резервного копирования данных (Veeam Backup & Replication), системам управления базами данных (phpMyAdmin, MySQL).

В 8% сообщений обсуждалось подключение при помощи загруженного вредоносного ПО (shell) и в 7% сообщений — через использование программ для удаленного доступа (AnyDesk, Citrix, ScreenConnect).

Каждый доступ имеет определенные привилегии в системе. Наиболее распространенные предложения — с правами локального администратора (57%), которые предоставят полный доступ только к одному компьютеру или серверу. Предложения с правами администратора домена составляют 16% и позволят получить доступ ко всем серверам и компьютерам, входящим в домен. Доступы с правами доменного пользователя (18%) и локального пользователя (9%) могут заинтересовать продвинутого злоумышленника, так как подразумевают возможность самостоятельно повысить привилегии в системе. Повышение привилегий позволит выполнять административные действия на атакованном узле и развивать атаку на критически важные системы организации.

Рисунок 17. Привилегии доступов, представленных в дарквебе

Сообщения об успешных атаках

Наиболее популярные заявления об успешных атаках — сообщения о дефейсах с результатами изменения главной веб-страницы компании (45%). Сообщения об успешных DDoS-атаках и взломах составляют 18% и 14% соответственно (они принадлежат группам хактивистов, нацеленных против исследуемого региона в связи с геополитическими конфликтами).

Рисунок 18. Категории сообщений об успешных атаках

Наибольшее количество дефейсов было реализовано на веб-сайтах госучреждений и компаний из сферы услуг — это может свидетельствовать о недостаточном уровне защищенности организаций из этих отраслей. Изменение главной страницы таких учреждений может позволить хактивистам привлечь внимание населения и вести пропаганду с целью влияния на общественное мнение.

Рисунок 19. Сообщение об успешном дефейсе на сайте государственного учреждения

Рисунок 19. Сообщение об успешном дефейсе на сайте государственного учреждения

В 40% заявлений о взломах фигурировали научно-образовательные учреждения, 33% заявлений касались государственных учреждений. Взлом госучреждений может позволить злоумышленникам получить доступ к ценной информации, секретным проектам, государственной переписке.

Рисунок 20. Сообщение об успешном взломе образовательного учреждения

Рисунок 20. Сообщение об успешном взломе образовательного учреждения

Наибольшее количество DDoS-атак (85%) было направлено на финансовую отрасль, а также на госучреждения (15%). Эта тема остается актуальной: количество DDoS-атак увеличилось на 50% в 3 квартале 2024 года (относительно его начала).

Рисунок 21. Сообщение об успешной DDoS-атаке на финансовое учреждение

Рисунок 21. Сообщение об успешной DDoS-атаке на финансовое учреждение

Заявления хакерских группировок о проведении успешных атак с использованием программ-вымогателей составляют 23% всех сообщений об успешных инцидентах. Наибольшее количество таких заявлений было связано с промышленными компаниями (25%), финансовыми учреждениями (19%) и компаниями из сферы услуг (16%).

Рисунок 22. Сообщения группировок вымогателей об атаках по отраслям

Рисунок 23. Сообщение вымогателей с опубликованными данными одной из индийских компаний

Рисунок 23. Сообщение вымогателей с опубликованными данными одной из индийских компаний

Выводы и рекомендации

Индия — регион, отличающийся высокими темпами киберразвития и глубокой цифровой трансформацией, а также инвестирующий в перспективные отрасли будущего. Сочетание этих факторов делает регион привлекательным для киберпреступников.

Теневые форумы предлагают различные товары и услуги для исследуемого региона. Так, свободно распространяемые базы данных могут повысить число атак на частные лица с помощью различных мошеннических схем или фишинга. Агрегирование данных из утекших баз позволит обогащать информацию о потенциальных жертвах, а также проводить атаки на сотрудников различных организаций через использование социальной инженерии.

Большое количество предложений доступов с низкой стоимостью облегчает киберпреступникам получение первичного доступа в инфраструктуру компаний. Помимо того, прослеживается тенденция бесплатной раздачи доступов: она связана с деятельностью хактивистских группировок, стремящихся привлечь внимание к определенным политическим, социальным или религиозным вопросам.

Все это может привести к росту числа атак на компании исследуемого региона. Чтобы предотвратить утечки персональных данных клиентов и сотрудников, нарушение или приостановку бизнес-процессов, а также финансовые и репутационные потери, следует выстраивать комплексную защиту, основанную на концепции результативной кибербезопасности. Такой подход позволит исключить возможность реализации недопустимых для компании событий3 и нанесение неприемлемого финансового ущерба.

3 Недопустимые события — события, которые наступают в результате кибератаки и блокируют достижение операционных и (или) стратегических целей организации или приводят к значительному нарушению ее основной деятельности.

При выстраивании комплексной защиты от кибератак использование сочетания решений класса SIEM (security information and event management) и XDR (extended detection and response) позволит собирать и анализировать события безопасности из различных источников, а также централизованно реагировать на обнаруженные угрозы. Повысить эффективность мониторинга и реагирования на события безопасности позволит метапродукт MaxPatrol O2, который дает возможность обнаруживать злоумышленника в инфраструктуре компании, выделять захваченные ресурсы и прогнозировать развитие атаки с учетом недопустимых событий. Межсетевой экран нового поколения NGFW (next generation firewall) обеспечит первую линию защиты сети, защитит критически важные приложения и основные бизнес-операции. Решения класса WAF (web application firewall) позволят обнаружить и блокировать целевые и массовые атаки, включая атаки из списка OWASP Top 10 и атаки нулевого дня, обеспечат защиту от DDoS-атак уровня приложений. С помощью системы управления уязвимостями MaxPatrol VM (vulnerability management) можно выстроить процесс управления уязвимостями на периметре, в том числе оперативно устранить уязвимости. Применение решений класса NTA (network traffic analysis) позволит обнаружить кибератаки с помощью поведенческого анализа сетевого трафика и поможет в проактивном поиске угроз. Применение песочниц повысит эффективность защиты путем обнаружения вредоносного ПО различных типов: новых вирусов, эксплойтов нулевого дня, программ-вымогателей и др.