Доступы к сетям компаний продаются в дарквебе за тысячу долларов

Эксперты «Лаборатории Касперского» выяснили, за сколько можно купить и продать доступ к инфраструктуре компании на нелегальных ресурсах. Почти в половине объявлений злоумышленников доступ предлагается по цене менее 1000 долларов.

Нередко владельцы бизнесов до сих пор уверены, что их компания не настолько интересна, чтобы злоумышленники тратили ресурсы на её взлом. Но это не так. Овчинка стоит выделки, и злоумышленники выбирают в качестве целей компании любого размера, сферы деятельности и уровня готовности к отражению угроз. Для каждой компании найдётся свой атакующий, и это лишь вопрос времени.

Эксперты «Лаборатории Касперского» проанализировали около двух сотен объявлений на незаконных площадках и пришли к следующим выводам:

• в большинстве объявлений предлагаются данные для доступа к небольшим компаниям;
• случаи, когда доступ продают дороже, чем за 5 тысяч долларов, достаточно редки;
• стоимость доступа к крупным компаниям в среднем варьируется от 2 до 4 тысяч долларов;
• почти в половине объявлений доступ предлагается по цене менее тысячи долларов.

Виды доступа к компании бывают разными. К примеру, информация об уязвимости, учётные данные для доступа к Citrix или к панели хостинга сайта. Но чаще (более чем в 75% объявлений) речь идёт о том или ином доступе через RDP (протокол подключения пользователя к удалённому рабочему столу через сервер терминалов), иногда в связке с VPN.

Цены могут зависеть от отрасли и региона, где работает организация, а также от размера её выручки и того, сколько злоумышленники могут «заработать», обладая легитимной учётной записью.

Злоумышленники получают первоначальный доступ через фишинговые письма, отправляемые на адреса сотрудников, письма с вредоносными вложениями (программы-шпионы или, например, стилеры, автоматически собирающие с заражённых устройств учётные данные, токены авторизации, файлы cookie). Иногда злоумышленники также эксплуатируют известные уязвимости в ПО до того, как их успевают запатчить.

«Поскольку чаще всего предметом продажи является удалённый доступ к инфраструктуре компании через RDP, то в первую очередь следует принимать меры, которые не позволят использовать его для атак», — комментирует Валерий Зубанов, коммерческий директор «Лаборатории Касперского» в Центральной Азии. Эксперты компании дают бизнесу следующие рекомендации:

• организовывать RDP-доступ только через VPN;
• использовать надёжные пароли;
• использовать Network Level Authentication (если это возможно);
• использовать двухфакторную аутентификацию для всех критических сервисов;

• чтобы пароли реже утекали из-за фишинга, использовать надёжные защитные решенияс антифишинговым движком как на устройствах сотрудников, так и на уровне почтового шлюза;
• повышать осведомлённостьсотрудников о современных киберугрозах;
• проверять, не обсуждают ли уже в даркнете продажу данных для доступа к вашей компании. Мониторинг такой активности вполне реален — этим и занимается сервис Digital Footprint Intelligence.