«data-stats =» true «> Темная сеть: заметки из подполья Axe Sharma, 16.02.2021, 16:57 darkweb darknet Cybersecurity Security Share Tweet LinkedIn

Рост профессиональных преступных группировок, вредоносное ПО как услуга и улучшенная криминальная инфраструктура меняют темную сеть. Что это означает для корпоративной безопасности?

В последнее время у людей, работающих в даркнете или даркнете, возникает еще одно беспокойство: как избежать поимки правоохранительных органов. Отслеживание незаконных действий в даркнете — это игра в кошки-мышки для властей, но, в конце концов, часто можно поймать своих противников и забрать деньги. Например, в ночь президентских выборов 2020 года чиновникам правительства США удалось опустошить биткойн-кошелек на 1 миллиард долларов, содержащий средства, связанные с Шелковым путем, через семь лет после закрытия рынка. Silk Road был популярным подпольным рынком, на котором торговались нелегальные товары и услуги, такие как наркотики, наемные хакеры и заказные убийства.

Мошенничество с целью закрытия киберпреступных групп

События такого рода вынуждают киберпреступников разрабатывать новые стратегии, которые иногда включают закрытие магазина и получение наличных до того, как они попадут в поле зрения службы. В октябре 2020 года группа Maze, специалист по программам-вымогателям, взломавшая сотни компаний, включая Xerox, LG и Canon, закрылась в течение шести недель, заявив, что вышла из бизнеса. Однако специалисты предполагают, что это, вероятно, всего лишь фасадная операция. Специалисты по программам-вымогателям часто завершают одну операцию, чтобы присоединиться к другой, а не полностью.

См. Также: Атака программ-вымогателей # Cyber ​​data science. Основные статистические данные, тенденции и факты в области кибербезопасности #

«В последние годы даркнет кардинально и органически изменился из-за более широкого использования анонимных форумов и рынков организованной преступностью, увеличения количества молодых» криминальных подражателей «, вдохновленных YouTube, а также увеличения присутствия правоохранительных органов и их пытается проникнуть, деанонимизировать и ликвидировать такие группы и скрытые службы «, — говорит Марк Тернейдж, генеральный директор DarkOwl, поисковой системы для темной сети.

Темная сеть становится вербовщиком. канал

По словам Марка Тернэджа, темная сеть превратилась в посредника — киберпреступники участвуют в кратких и незаметных взаимодействиях, чтобы набрать новых членов в свою группу. Затем они передают общение в частные зашифрованные каналы, такие как Telegram, Jabber и WickR. «Авторы вредоносных программ и преступники, занимающиеся финансовым мошенничеством, реже используют даркнет для распространения своих эксплойтов, а вместо этого используют форумы глубинных и даркнет черных шляп, чтобы заявить о своем бренде, получить влияние в сообществе и привлечь новых участников», — говорит он. Марк Тернейдж. «Многие преступные организации используют только его. темная сеть для проверки потенциальных партнеров, особенно в индустрии программ-вымогателей как услуги, и их [сообщников] «.

Марк Тернейдж наблюдал, как более технически подкованные преступники увеличивают использование альтернативных децентрализованных темных сетей и сетей, таких как Lokinet и Yggdrasil. Он объясняет это коротким сроком существования рынков и услуг даркнета в сети Tor и приобретением серверов координируемыми во всем мире правоохранительными органами.

Перемещение рынков с узлов Tor на сервисы частных сообщений также может принести технические преимущества, такие как защита от DDoS-атак. Технические меры безопасности могут заманить администраторов даркнета, поскольку подпольные рынки были вынуждены закрыться после DDoS-атак и попыток вымогательства других киберпреступников. Внезапный уход Империи также стал причиной его так называемого гарантия «условного депонирования» стала недействительной, что побудило некоторых назвать блокировку «мошенничеством при выходе».

Переводя пользователей на законные услуги связи со сквозным шифрованием, киберпреступники используют надежную распределенную инфраструктуру платформ, чтобы сохранять конфиденциальность и избегать проверки со стороны правоохранительных органов. Хотя коммуникационные платформы, такие как Telegram, могут быть не полностью устойчивы к DDoS-атакам, защита от атак становится обязанностью владельцев платформ, а не операций даркнета.

Использование подпольных слухов для сбора информации < p>По словам Равида Лаэба, менеджера по продукту KELA, сегодня дарквеб представляет собой широкий спектр товаров и услуг. Традиционно фокусируясь на форумах, общение и транзакции в темной сети переместились в другие средства массовой информации, включая платформы обмена мгновенными сообщениями, торговые автоматы и закрытые сообщества. Через эти средства массовой информации участники делятся секретными данными о скомпрометированных сетях, украденных данных, утечках баз данных и других продуктах киберпреступности, которые могут приносить деньги.

«Изменения на рынке сосредоточены на моделях автоматизации и подписки, разработанных для увеличения масштабов киберпреступного бизнеса, — говорит Равид Лаэб. Предложение, которое поддерживает децентрализованные и эффективные вторжения, дает злоумышленникам огромное преимущество».

С другой стороны, специалисты по безопасности и аналитики угроз могут использовать эту информацию для выявления и исправления слабых мест в системе, прежде чем создатели угроз смогут ее использовать. «Защитники могут использовать эти сильные и динамичные экосистемы, получая представление о внутренней работе подземной экосистемы, что позволяет им отслеживать те же уязвимости и компромиссы, которые могут быть использованы злоумышленниками, и устранять их до того, как они будут использованы», — говорит Равид. Лаэб.

Это можно сделать, отслеживая форумы и сайты даркнета, где вероятнее всего скрываются авторы угроз, обсуждая предстоящие атаки и выставляя эксплойты на продажу. Например, хакер недавно разместил на форуме эксплойты для более чем 49 000 уязвимых VPN-сервисов Fortinet, некоторые из которых принадлежали известным телекоммуникационным компаниям, банкам и правительственным организациям. За этим событием последовала вторая публикация на форуме — другой участник раскрыл учетные данные для всех VPN-устройств, которые могут быть использованы любым киберпреступником. Хотя рассматриваемая уязвимость представляет собой двухлетнюю ошибку, которая, вероятно, больше не является чьей-либо целью, тысячи корпоративных VPN в списке остались уязвимыми для этой критической проблемы.

Доступ к таким форумам и отслеживание такой информации может послать сигнал группам безопасности организации сделать все возможное, чтобы выяснить, где противники могут нанести удар в будущем.

Отслеживание незаконной деятельности под прикрытием законных программ

Группы APT (Advanced Persistent Threat) теперь используют темную сеть для сбора информации о своих целях, а затем используют легитимные сетевые протоколы и программы для скрытого извлечения данных. «В прошлом организации обычно заботились только о том, чтобы их собственные данные появлялись в темной сети, и подавали сигналы тревоги только тогда, когда на них были соответствующие данные. Но многие поддерживаемые национальными государствами китайские и российские передовые группы постоянной угрозы теперь используют даркнет для разведки потенциальных целей, а затем прикрытия для кражи данных, — говорит Винс Уоррингтон, генеральный директор Dark Intelligence.

«С начала 2020 года использование SSH этими APT-группами увеличилось более чем на 200%. Наше исследование показало, что группы APT используют SSH через порт 22 для незаметного проникновения в организации и, оказавшись внутри, используют плохо контролируемые и обслуживаемые системы, особенно системы промышленного контроля, для кражи больших объемов данных. Предполагается, что в результате нескольких недавних атак было украдено более 1 терабайта данных от отдельных компаний — огромный объем, который организации не могут обнаружить, поскольку не могут эффективно отслеживать соединения в даркнете », — говорит Уоррингтон.

Этот тезис был подтвержден недавним обнаружением массированной атаки на цепочку поставок SolarWinds, приписываемой российской шпионской группе APT29, известной как Cozy Bear. Используя доверие к законной программе, такой как SolarWinds Orion, и ее безопасным каналам (или протоколам) обновлений, изощренным злоумышленникам удалось незаметно взломать более 18 000 из 300 000 клиентов SolarWinds и в течение нескольких месяцев оставаться незамеченными. Их враждебные атаки могли включать в себя скрытое наблюдение и кражу данных, не оставляющих видимых следов.

Аналитикам угроз и исследователям безопасности рекомендуется пересмотреть свои стратегии мониторинга. Вместо того, чтобы сосредоточиться на обнаружении аномалий в корпоративных сетях, таких как иностранные IP-адреса и странные номера портов, или на ожидании появления проприетарных данных в темной сети, стоит отслеживать заслуживающие доверия программы и службы, включая их обновления безопасности, а также цепочки поставок программного обеспечения. в организации, где авторы угроз могут скрыться незамеченными.

Статья от CSO

Для коммерческого воспроизведения контента Computerworld необходимо приобретать лицензию. Свяжитесь с нашим партнером YGS Group по адресу [email & # 160; protected] Поделиться Поделиться Поделиться LinkedIn Tweet #hpe_special_offers.