На черном рынке все чаще продают доступ к корпоративным сетям.

Эксперты Positive Technologies провели исследование черного рынка и обнаружили всплеск интереса к доступам в корпоративную сеть: в первом квартале 2020 года число предложений о продаже таких данных на 69% превысило показатели предыдущего квартала.

Отчет компании гласит, что в четвертом квартале 2019 года на хакерских форумах можно было найти более 50 предложений по продаже доступа к сетям крупных компаний со всего мира (примерно столько же эксперты насчитали за весь 2018 год). Но уже в первом квартале 2020 года на черном рынке предлагали доступ к сетям более 80 компаний. Чаще всего злоумышленники продают доступ в сети промышленных организаций, компаний из сферы услуг, финансов, науки и образования, а также информационных технологий (58% предложений в совокупности).

Если год-два назад злоумышленники в основном интересовались доступом к единичным серверам, и такой доступ стоил примерно 20 долларов, то со второй половины 2019 года наблюдается рост интереса к покупке доступа к целым локальным сетям компаний.

Выросли в последнее время и суммы сделок. Например, сейчас за доступ к инфраструктуре компании с годовым доходом от 500 млн долларов предлагают долю до 30% от потенциальной прибыли после завершения атаки. Средняя стоимость привилегированного доступа к локальной сети сейчас составляет порядка 5000 долларов.

При этом в случае США чаще всего доступ продают в сети организаций из сферы услуг (20%), промышленных компаний (18%) и государственных учреждений (14%). Применительно к Италии в лидерах спроса промышленность (25%) и сфера услуг (17%), а в Великобритании ― сфера науки и образования (25%), а также финансовая отрасль (17%). В германии 29% всех предложений по продаже доступа приходится на сферу ИТ и сферу услуг.

Исследователи пишут, что обычно покупатели такого товара — другие злоумышленники. Они приобретают доступ к сети компании, чтобы развить атаку самостоятельно, либо чтобы нанять опытную команду хакеров для повышения привилегий в сети и размещения вредоносных файлов на критически важных узлах инфраструктуры компании-жертвы. Одними из первых такую схему взяли на вооружение операторы шифровальщиков.