Данные на продажу: что происходит с информацией после утечек

vaspvort

Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💎
Регистрация
10/4/18
Сообщения
6.010
Репутация
11.188
Реакции
17.000
USD
0
Сделок через гаранта
18
10a7301c4b0057affff5f2415a543ab9.png

Новости о крупных утечках данных больше никого не удивляют. Компании вкладывают миллионы в безопасность, проводят аудиты, но число таких инцидентов продолжает расти. Только в 2024 году Роскомнадзор 135 утечек — это более 710 миллионов записей о россиянах в базах данных. Но что происходит с данными после взлома? Куда они утекают? Кто и как их покупает?

Большинство новостей на тему утечек ограничиваются банальным «взломали, утекло, делайте выводы». Но утечка данных — это не конец истории, а только ее начало. После взлома данные начинают жить своей жизнью: их разбивают на части, объединяют с другими базами, разыгрывают на аукционах. Теневой рынок, построенный вокруг сбыта таких данных, напоминает отдельную экосистему, которая до сих пор слабо изучена даже среди ИБ-специалистов.

В этой статье разберем, как на практике выглядит жизненный цикл украденных данных. Представьте: вы — опытный специалист по киберразведке, помогающий компаниям справляться с последствиями утечек. Ранним июньским утром вас будит внезапный телефонный звонок. На другом конце провода — гендиректор ООО «Нас никогда не взломают». Судя по голосу, он явно встревожен...


Специалисты на стороне клиента пока только восстанавливают картину инцидента, но уже сейчас понятно, что инфраструктуру «Нас никогда не взломают» могли пробить множеством способов. Это мог быть и простой фишинг, и атака на цепочку поставок через GitHub, PyPI или даже S3-бакеты AWS. Как бы там ни было, хакеры проникли в инфраструктуру, украли базу данных и переполошили SOC.

В зависимости от цели хакеров с инцидента до появления данных в открытом доступе может пройти как несколько дней, так и несколько лет. Например, данные клиентов магазина одежды Сивера появились в сети на второй или третий день после взлома. А вот хакеры из Belsen Group наоборот не спешили: похитив 15 000 учеток от брандмауэров Fortigate, они несколько лет использовали данные втихую — а когда выжали все, что могли, устроили в даркнете показательный слив.
Для торговли украденными данными используется не только даркнет, но и другие каналы: закрытые группы в Telegram, защищенные чаты. Особенно ярко в этом плане «отметился» Discord: по данным Бастиона, на конец 2024 года насчитывалось около 2,5 тысяч серверов, на которых хакеры выкладывают утечки. Именно с этих «мест силы» вы и начинаете поиск украденных данных.

Проходит несколько дней, но мониторинг ничего не дает. Есть небольшой шанс, что утечка осядет в частной коллекции. Однако, как показывает практика, бо́льшая часть украденных данных все равно в какой-то момент попадает в сеть. Да и «коллекционеры» скупают утечки не из-за спортивного интереса, так что расслабляться еще рано.

Кто продает данные​

Вы продолжаете шерстить даркнет в поисках упоминаний «Нас никогда не взломают», когда заказчик наконец возвращается с отчетом о расследовании инцидента. Судя по логам, у злоумышленников в руках оказалась полная клиентская база.

Заказчик начинает расспрашивать вас, кому могли понадобиться эти данные и где они могут всплыть. Вы показываете пару нелегальных площадок и объясняете, что на них так или иначе представлены одни и те же крупные игроки.

Как находят эти площадки? Чаще всего — через сарафанное радио. А еще с помощью рекламы на других сомнительных ресурсах.

От всех этих баннеров ощутимо веет вайбом сайтов нулевых. Олдскулы сводит, не правда ли?

От всех этих баннеров ощутимо веет вайбом сайтов нулевых. Олдскулы сводит, не правда ли?
Хакеров или перекупщиков, которые пользуются теневыми площадками, можно условно распределить по целеполаганию и мотивации. Большинство из них просто хотят выгодно продать награбленное, однако встречаются и хактивисты с более сложными мотивами, политическими и даже моральными установками (как пример, южнокорейского сайта Ya-moon).

А еще деятельность хакерских группировок и связанных с ними «‎барыг», как правило, привязана к определенному региону. Ближний Восток, Азия, СНГ, США — везде действуют свои игроки. Следовательно, базу клиентов «Нас никогда не взломают» скорее всего похитил кто-то хакеров, работающих по RU.

Кто покупает​

Порой в роли покупателей выступают известные хакерские группировки, но чаще утекшие базы данных приобретают лица, которые по очевидным причинам не выходят в публичное поле. Однако опыт подсказывает несколько категорий покупателей, которых могут заинтересовать данные ООО «Нас никогда не взломают»:

  • Перекупщики с других теневых площадок, планирующие перепродать базу по частям.
  • Конкуренты, которые ведут нечестную игру, переманивая клиентов компании.
  • Хакеры и мошенники, желающие атаковать компанию и ее клиентов, например, при помощи адресных фишинговых рассылок.
Как ни странно, порой служба безопасности пострадавшей компании тоже может приобрести собственную утечку на черном рынке. Это не гарантирует, что данные перестанут распространяться, но иногда позволяет определить, к каким элементам инфраструктуры получили доступ злоумышленники и на что делать упор при укреплении защиты.

Как продают данные​

Спустя неделю вы наконец находите в продаже ту самую базу данных. Продавец, за которым вы уже давно наблюдаете в рамках других проектов, выложил новое объявление. Чтобы извлечь из утечки максимальную выгоду, он предлагает сразу несколько опций:

  • Покупку полной копии базы. Она может быть продана эксклюзивно в одни руки, так и нескольким желающим, в зависимости от обстоятельств, за $150 в криптовалюте.
  • Платный запрос к БД. Вместо покупки всей базы можно получить результаты выдачи по отдельным запросам за $20.
  • Доступ к инфраструктуре компании. Продавец хвастается, что не просто слил базу. Он якобы сохраняет доступ к инфраструктуре «Нас никогда не взломают», и готов поделиться лазейкой всего за $500.
Вы тут же сообщаете о находке в службу безопасности компании, а там удивляются: «Почему так дешево?».

Стоимость утечки определяется на основе эксклюзивности и качества данных, а также множества сопутствующих обстоятельств. Бренд, сфера деятельности и успешность компании, потенциальные последствия публикации информации — все имеет значение.
В этой области нет регулирования: цены назначаются индивидуально, часто с оглядкой на расценки коллег по нелегальному промыслу. Стоимость особенно редких утечек может определяться в формате аукциона.
Представим, что в базу данных ООО «Нас никогда не взломают» входят десятки тысяч имейлов и имена клиентов, но в ней нет паролей, или персональных данных, которые бы облегчили фишинг. Тогда расценки на эту утечку действительно могут быть сравнительно низкими, и служба безопасности зря удивляется.

Подлинность и репутация​

Итак, заказчик уже начал паниковать, но само наличие объявления о продаже базы данных еще не означает, что клиенты компании в опасности. Мошенники часто выдают за утечки так называемые компиляты — архивы, сформированные из общедоступных старых утечек или открытых данных, собранных в интернете.

Покупатели слитых данных на теневых маркетплейсах в основном ориентируются на репутацию продавца, а также авторитет так называемого гаранта.

В качестве гаранта может выступать как авторитетный киберпреступник, так и администрация площадки, на которой проводится сделка. Выступая посредником за определенный процент от суммы сделки, гарант контролирует происходящее:

  1. Покупатель отправляет деньги гаранту. Средства замораживаются на счету гаранта.
  2. Продавец передает базу данных в оговоренном формате.
  3. Как только покупатель подтверждает получение товара, гарант переводит деньги продавцу.
Если возникают споры, гарант может провести арбитраж и решить, кому достанутся деньги. Это снижает риск того, что одна из сторон просто исчезнет после получения оплаты или товара, нарушив условия сделки.

74742f7f33bf27b8b4b464f893875b35.jpg

Успешные сделки часто сопровождаются отзывами о каждом из участников и плюсиками в карму в рейтинг. На даркнет-площадках вообще крайне щепетильно относятся к вопросам репутации — отсюда и различные механизмы, повышающие доверие пользователей и клиентов друг к другу. Все это на удивление напоминает легальные маркетплейсы с их культом отзывов — разве что ассортимент немного другой.

Попадаются и механизмы, напоминающие звезды в Telegram. Отдельные форумы продают собственную внутреннюю валюту, которую можно отсыпать авторам понравившихся сообщений в качестве благодарности.

Но вам мало одной только репутации продавца. Хорошо, что подлинность базы можно проверить по сэмплу — небольшому фрагменту, предоставленному продавцом. Все проверки указывают на подлинность утечки, о чем вы сообщаете «Нас никогда не взломают». Заказчик со своей стороны также подтверждает подлинность данных и, несомненно, сильно расстраивается.

Однако ваша работа на этом только начинается. Теперь, когда достоверно известно, что клиентские данные все же появились в сети, нужно пристально следить за их распространением. Только так можно предсказать, как их будут использовать, и подготовиться к противодействию новым атакам.

Как проходит сделка​

Спрос на свежие базы данных в последние годы только растет. Вскоре эту информацию обязательно кто-то купит.

Утечки оплачиваются криптовалютами, однако контроль над операциями с ними со стороны крупных игроков постепенно усиливается. Если раньше злоумышленники свободно использовали биткойн, то теперь криптовалютные биржи и обменники научились отслеживать «грязную» крипту с помощью инструментов вроде Chainalysis. Поэтому в даркнете все чаще используют Monero и Zcash без привлечения обменников, в формате P2P-сделок. В силу особенностей протокола эти криптовалюты обеспечивают повышенную анонимность транзакций.

Что же до передачи товара, то как правило продавцы заливают данные на анонимные файлообменники, такие как Mega или GoFile. Ну или просто используют Telegram, если позволяет вес архива.


Случай с ООО «Нас никогда не взломают» — хоть и гипотетический, но показательный пример того, как быстро конфиденциальная информация может превратиться в товар в руках злоумышленников.

После инцидента данные начинают свое путешествие по теневым площадкам, где действуют свои законы и правила. Вы хорошо знаете, что преступный мир демонстрирует высокий уровень организации: репутационные механизмы, гаранты безопасности сделок, система рейтингов и отзывов. Механизмы нелегальной торговли давно отлажены и действуют как часы.

Про себя вы думаете, что еще долго не останетесь без работы, а то и наоборот — будете работать без перерывов и выходных. На эти мысли наводит удручающее состояние ИБ-инфраструктуры российских компаний, судя , которую собрали коллеги-пентестеры.

В таких условиях мониторинг даркнета из экзотической услуги превращается в инструмент, который необходим для снижения репутационных и финансовых рисков. В мире, где информация стала главной ценностью, понимание жизненного цикла украденных данных — ключевой элемент эффективной стратегии кибербезопасности. Потому что если ваша компания называется «Нас никогда не взломают», это не означает, что так оно и будет.

 
  • Теги
    даркнет кража данных утечки данных
  • Назад
    Сверху Снизу