Обсуждение кибератак переместилось с форумов киберпреступников в мессенджеры, в частности в «Телеграм», а сами услуги подешевели, следует из исследования Positive Technologies. Так, стоимость услуг по проведению DDoS-атак длительностью сутки, предлагаемых в «Телеграме», в последний год составляла $40 (2,6 тыс. руб. по текущему курсу). Предложения по взлому аккаунта во «ВКонтакте» варьировались от $10 до $50 (630–3,13 тыс. руб.), взлом «Телеграма», Viber и WhatsApp стоили от $350 (22 тыс. руб.).
Это первое исследование Positive Technologies, охватывающее различную активность киберпреступников в «Телеграме». В его ходе компания проанализировала 323 публичных канала и группы в мессенджере с количеством подписчиков более 1 млн.
В прошлом году директор департамента аналитики информационной безопасности Positive Technologies Евгений Гнедин говорил, что DDoS-атака длительностью одни сутки и мощностью несколько сотен Гбит/с может стоить $50. Такую же оценку Positive Technologies приводила и в 2018 году в исследовании рынка преступных киберуслуг.
Компания BI.ZONE в 2021 году сообщала, что стоимость взлома аккаунта во «ВКонтакте» у хакеров составляла от 700 руб. до 12 тыс. руб., аккаунта в «Телеграме» — от 30 тыс. до 170 тыс. руб., в WhatsApp — от 20 тыс. до 130 тыс. руб.
Стоимость готового вредоносного софта в сообщениях зависит от типа и функциональных возможностей. Например, инструменты для запутывания кода могут стоить от $20 до $100 (от 1,26 тыс. до 6,27 тыс. руб.), а цена на ботнет (сеть компьютеров, зараженная вредоносным софтом) или руководство по его созданию может доходить до $750 (47 тыс. руб.). Цены на вымогательское ПО в мессенджере исчисляются десятками долларов. Как пояснила аналитик исследовательской группы Positive Technologies Екатерина Семыкина, за последние четыре года цены на вредоносное ПО для шифрования упали примерно в 27 раз, с $270 до $10. «Причина в том, что, во-первых, мессенджер дает больше свободы в плане создания анонимных аккаунтов, поэтому больше преступников им пользуются. Во-вторых, за четыре года вредоносов написано множество, исходников в сети много, товар стал менее уникальным — злоумышленники с низким уровнем квалификации могут собрать свой вредонос и пойти его продавать», — отметила она.
Семыкина также уточнила, что распространение шифровальщиков происходит по большей части через партнерские программы, на специализированных сайтах и форумах в даркнете и в закрытых группах. Поэтому на публичных просторах мессенджера встречается совсем немного объявлений о покупке и продаже, а сами шифровальщики достаточно простые.
Также в исследовании приводится стоимость доступа к корпоративным сетям организаций. Чаще всего в «Телеграме» продаются учетные данные для подключения через решения для удаленного доступа (RDP, VPN), и их цена может начинаться от $7. Однако продажа доступов к корпоративным сетям пока распространена в мессенджере меньше, чем на форумах, поэтому сравнение цен будет некорректным, уточнили в Positive Technologies. Стоимость стилера (вредоносного софта, предназначенного для кражи сохраненных в системе паролей и отправки их злоумышленнику) может составлять от $10 до $3500 (от 627 руб. до 219,4 тыс. руб.). Обычно продавцы стилеров не снижают цены, но их клиенты могут перепродавать свои копии/лицензии за меньшую сумму, отметил представитель Positive Technologies.
Всего во втором квартале этого года в «Телеграме» было опубликовано более 27 тыс. постов на хакерскую тематику, что в 2,5 раза больше, чем за тот же период прошлого года, говорится в исследовании. Число постов киберпреступников в «Телеграме» начало заметно увеличиваться с 2020 года. Эксперты объясняют, что хакеры могли массово переходить в мессенджеры с киберпреступных форумов после того, как в 2020–2021 годах было выявлено множество критически опасных уязвимостей в форумных движках и несколько крупных форумов были взломаны. Большинство сообщений (52%) связаны с пользовательскими данными, в том числе с торговлей ими, 29% — с различными услугами киберпреступников, 15% — с распространением вредоносного программного обеспечения, 3% — с обсуждением уязвимостей и эксплойтов (подвид вредоносных программ, который содержит данные или исполняемый код, способный воспользоваться одной или несколькими уязвимостями в программном обеспечении на локальном или удаленном компьютере), 1% — с доступом к корпоративным сетям.
РБК направил запрос в «Телеграм».
Директор центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Владимир Дрюков согласен, что за последнее время стоимость киберпреступных услуг в целом снизилась. «Большое количество доступов и данных в теневом сегменте отдается бесплатно, а часть сервисов продается за символические деньги — таким образом злоумышленники просто оставляют для себя возможность верифицировать покупателя (проверить историю его пребывания на онлайн-ресурсе, пообщаться в переписке и т.д.) и убедиться, что это не представитель киберзащитной организации», — отметил Дрюков. И за счет перехода в «Телеграм», по его словам, такие услуги стали еще доступнее.
Эксперт «Лаборатории Касперского» также отметил, что «Телеграм» упростил взаимодействие между клиентом и сервисом — теперь нет необходимости разбираться, где искать сервисы, скачивать анонимный браузер, понимать, как работает посредник-гарант. Подобные мошеннические услуги легко можно найти через обычный поиск в «Телеграме». «Владельцы таких сервисов активно используют «Телеграм» для рекламы своих услуг и размещают объявления на множестве разных каналов. Это также способствует привлечению неопытной клиентской базы, получив деньги от которой можно не выходить на связь», — отметил эксперт.
Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев, в свою очередь, отметил, что если несколько лет назад организация DDoS-атаки мощностью 1 ТБ/с на довольно крупную компанию стоила десятки тысяч долларов, то сейчас можно найти предложения всего за $5 тыс. (313,5 тыс. руб.) на неограниченное количество атак на компанию в течение месяца и дешевле. «Одним из факторов снижения стоимости предложений на атаки типа «отказ в обслуживании» выступает развитие направления «интернета вещей». Киберпреступникам становится проще формировать вредоносные ботнеты из уязвимых устройств. Кроме того, в последнее время злоумышленники стали чаще использовать для атак облачные ресурсы, доступ к которым удается получить, в частности, путем взлома учетных записей администраторов», — рассказал Арсентьев. Распространение получили схемы типа «DDoS как услуга», когда атаки осуществляются посредством подписок и неких программ лояльности для посредников, и развитие телеграм-каналов облегчает координацию атак и привлечение новых заказчиков, дополнил эксперт.
Екатерина Ясакова