Прогнозы по теневому рынку и угрозам из даркнета на 2024 год

Обзор прошлогодних прогнозов

1. Будет еще больше утечек персональных данных, появятся комбинированные базы

   Прошедший год показал, что проблема компрометации персональных данных остается актуальной. Мы проанализировали значимые утечки в России и выяснили, что, несмотря на небольшое снижение (6%) количества публикаций утечек данных в 2023 году, наблюдается рост объема скомпрометированных данных на 33%. Большинство опубликованных скомпрометированных данных (71%) датируется 2023 годом, что говорит о том, что сами данные являются актуальными, а инциденты по их компрометации произошли сравнительно недавно.

   В начале 2023 года мы прогнозировали, что в течение года мрачный тренд на утечки получит новый виток: похитители не просто будут «сливать» базы, но и совмещать информацию из различных источников. В течение года злоумышленники действительно обогащали утечки данными из разных сфер. По результатам нашего исследования, лидерами по объему скомпрометированных данных являются компании из секторов «Ритейл» (49%) и «Финансы» (23%).

   Вердикт: прогноз сбылся частично 🆗

2. Программа-вымогатель как услуга: больше однотипных атак, сложнее инструментарий

   В 2023 году появились новые семейства решений, распространяемых по модели «вредоносное ПО как услуга» (MaaS), что привело к увеличению соответствующей активности в даркнете. Из них стоит выделить BunnyLoader, недорогого и многофункционального зловреда для кражи конфиденциальных данных и криптовалют. Другой новинкой 2023 года стала Mystic Stealer — подписочная вредоносная программа, предназначенная для похищения учетных данных пользователей и другой ценной информации и вызвавшая активное обсуждение в даркнете. Согласно данным сервиса Kaspersky Digital Footprint Intelligence, она распространялась на киберпреступных форумах по модели MaaS со стоимостью месячной подписки в размере 150 долл. США. Обнаруженные ранее вредоносные программы, предлагаемые по подписке, никуда не делись и продолжают развиваться.

   Среднее количество постов в даркнете, в которых предлагают логи Redline, широко известного семейства вредоносных программ, также существенно выросло: с 370 публикаций в месяц в 2022 году до 1200 публикаций в месяц в 2023 году.

   

   Количество предложений с логами Redline в 2022–2023 годах

   В прошлом году мы опубликовали результаты детального исследования MaaS-решений, в котором проанализировали рыночный ландшафт и сложность инструментария, используемого злоумышленниками.

   Вердикт: прогноз сбылся ✅

3. Шантаж в медиа: компании будут узнавать о взломе из публичных постов хакеров c обратным отсчетом до публикации данных

   Операторы шифровальщиков ведут блоги, где они рассказывают о новых успешных взломах компаний и публикуют украденные данные. В 2022 году средняя активность в таких блогах, размещаемых как на общедоступных платформах, так и в даркнете, составляла 386 постов в месяц. В 2023 году их среднее количество достигло 476 постов в месяц, а пик — 634 поста — пришелся на ноябрь. Это указывает на непрерывный рост количества компаний, становящихся жертвами шифровальщиков.

   

   Количество постов в блогах, принадлежащих группировкам шифровальщиков, в 2022-2023 годах

   Увеличивается не только количество постов, но и появляются новые блоги, обычно одновременно с появлением новой группировки шифровальщиков. Однако не всегда появление нового блога связано с появлением новой группировки: Существующие группировки могут перемещать свои ресурсы с одного сайта на другой или поддерживать несколько сайтов одновременно.

   Вердикт: прогноз сбылся ✅

4. «Потехе час»: киберпреступники будут чаще публиковать фейки о взломах

   В прошлом году мы предсказывали увеличение числа угроз, связанных с фальсификацией утечек данных, выдаваемых за подлинные. У злоумышленников, публикующих утечки данных в даркнет, бывают разные мотивы, кроме непосредственной прибыли от продажи данных, тот же хактивизм или даже «маркетинг». Последнее означает, что злоумышленники репостили реальные утечки данных на форумах и других ресурсах даркнета, тем самым увеличивая свои охваты и привлекая новую аудиторию на эти платформы.

   В русскоязычном сегменте даркнета мы увидели множество ложных заявлений от никому не известных злоумышленников, в то время как группировки, дорожащие своей репутацией, воздерживались от голословных заявлений о взломах и публикации фальшивок.

   Вердикт: прогноз сбылся частично 🆗

5. Популярными векторами атак станут облачные технологии и скомпрометированные данные из даркнета

   В прошлом году нам не приходилось расследовать атаки на облачные среды наших клиентов. Однако важно отметить, что в основе таких атак могут лежать скомпрометированные данные из даркнета. Заметное увеличение числа утечек учетных записей пользователей указывает на растущий спрос на эту информацию со стороны преступного сообщества. Ведь скомпрометированные учетные записи, как известно, один из самых простых способов получения несанкционированного доступа к инфраструктуре.

   Вердикт: прогноз сбылся частично 🆗

Наши прогнозы на 2024 год

Вырастет количество сервисов, предлагающих крипторы для обхода защитного ПО

Наблюдаемая в 2023 году тенденция роста числа сервисов-крипторов, предоставляющих услуги по обходу защитных решений для вредоносного ПО, по всей видимости, сохранится и в 2024 году. Криптор представляет собой специализированный инструмент для обфускации кода вредоносных программ. Пропущенный через него код становится непроницаемым для сигнатурного анализа, что повышает его скрытность.

На теневом рынке подобные услуги уже представлены в изобилии, а некоторые предложения успели стать весьма популярными на подпольных форумах. Цены начинаются от 10–50 долл. США за одно шифрование или 100 долл. США за месячную подписку для базовой недолговечной защиты зловредов, распространяемых массово, и достигают 1000–20 000 долл. США за месячную подписку на крипторы премиум-класса. Продвинутые крипторы более умело обходят механизмы защиты среды выполнения и предназначены для целенаправленного заражения.

Сервисы распространения загрузчиков продолжат развиваться

Ожидается расширение спектра сервисов, предлагающих киберпреступникам программы-загрузчики, а также появление более скрытных вариантов загрузчиков. Выступая в роли начального вектора заражения вредоносным ПО, загрузчики прокладывают путь к развертыванию стилеров, троянцев удаленного доступа (RAT) и других вредоносных средств. Мы предполагаем, что в числе ключевых возможностей таких загрузчиков будут надежные механизмы закрепления в системах, выполнение в памяти без создания файлов и повышенная устойчивость к защитным решениям. Постоянное развитие загрузчиков, представленных на теневых рынках, вероятно, приведет к появлению в 2024 году новых версий, написанных на современных языках программирования, таких как Go и Rust. Такая динамика указывает на то, что киберпреступники продолжают сосредоточенно работать над совершенствованием методов обхода средств защиты и повышением эффективности начальных векторов заражения.

На теневых рынках увеличится число сервисов с вредоносным ПО для кражи криптовалютных активов

Мы ожидаем рост количества и дальнейшее развитие вредоносного ПО для кражи криптовалютных активов. На теневом рынке будет появляться все больше объявлений о его разработке и продаже. Как ожидается, успех таких зловредов, как Angel Drainer (который был задействован в атаке на Ledger), в сочетании с неугасающим интересом к криптовалютам, NFT и к связанным с ними цифровым активам, будет способствовать распространению программ для кражи активов. Эта тенденция обусловлена прибыльностью атак на цифровые финансовые активы. С ростом популярности криптоактивов увеличивается изощренность и распространенность зловредов, направленных на их кражу.

Будут очень популярны схемы генерации черного трафика

Мы полагаем, что кампании по генерации фальшивого трафика посредством рекламы в Google и Bing сохранят свою популярность. Торговцы черным трафиком, то есть операторы таких кампаний, продвигают целевые страницы с внедренными в них установщиками зловредов, что позволяет им эффективно заражать устройства пользователей. С одной стороны, ожидается рост продаж черного трафика на теневом рынке. С другой — будет расти спрос на подобные услуги среди злоумышленников, что подчеркивает эффективность распространения вредоносного ПО через основные платформы доставки рекламы, обеспечивающие охват широкой аудитории. Можно ожидать дальнейшего развития этой практики, представляющей постоянную угрозу для пользователей интернета.

Рынок биткойн-миксеров и сервисов анонимизации криптовалюты эволюционирует

Предполагается, что биткойн-миксеры и сервисы анонимизации криптовалюты будут становиться все более востребованными и продвинутыми. Повышенное внимание со стороны регулирующих органов и расширение возможностей правоохранительных органов по отслеживанию криптовалютных транзакций приведут к повышению на теневом рынке спроса на услуги, позволяющие скрыть происхождение биткойнов. Такие сервисы, часто называемые «тумблерами» или «миксерами», дают киберпреступникам и другим злоумышленникам возможность анонимизировать свои криптовалютные транзакции, затрудняя их отслеживание до первоисточника.

В 2024 году мы ожидаем рост разнообразия и сложности этих сервисов. Вероятно, этому будут способствовать как стремление злоумышленников сохранять свою конфиденциальность в рамках незаконной деятельности, а также постоянное развитие инструментов анализа блокчейна. Биткойн-миксеры и сервисы анонимизации криптовалюты, скорее всего, будут опираться на все более сложные алгоритмы и методы, позволяющие опережать меры по отслеживанию.

Рост популярности других криптовалют с повышенной конфиденциальностью может повлиять на рынок биткойн-миксеров. Владельцы таких сервисов могут диверсифицировать свои предложения, включив в них услуги по смешиванию с альтернативными криптовалютами, что еще больше расширит их аудиторию.