Artık, Deep web ve diğer underground forumlarda ülkelerin milli güvenliklerini ihlal edecek derecede tehtid oluşturuyor..

TheKoswog: Türkiye Gerekli adımları atıyor fakat, Gerekli gücü çok nadir rastlanan etik hackerlarımız karşılamaktadır, şuanda ülkelerin resmi bir hacker birimleri yok fakat çin, rusya, iran, amerika önemli ölçüde siber hackerlar yetiştiriyor, bu biliniyor fakat kaale alınmıyor, Ülkelerin Milyarlarca dolar harcadıkları sistemi hackerlar sadece Dakikalar içerisinde girip verilere zarar verebiliyor, Bununla savaşmanın ve korunma ile ilgili yakında bir makalem yayınlanacaktır…

Bugün haberlerde, bir kuruluşun bir bilgisayar korsanı saldırısından veya bir kaynağın yüz binlerce kullanıcı hesabından sızmasından kaynaklanan maddi hasarı okuyabilirsiniz. Aynı zamanda, böyle bir saldırıyı yapmanın maliyeti veya uygulanmasının ne kadar zor olduğu hakkında mesajlar bulmak mümkün olmayacaktır. Ancak siber suçluların çalışmaları da dahil olmak üzere çalışma kâr elde etmeyi amaçlıyor ve maliyetler karşılaştırılabilir veya olası geliri aşarsa, bilgisayar korsanı basitçe başka, daha kârlı bir göreve geçer

İlgili siber tehditlerle ilgili son çalışmamızda, önemli siber olayların sayısında bir artış olduğunu kaydettik: 2018’in ilk çeyreğinde, 2017’nin ilk çeyreğinden% 32 daha fazla oldu 1 . Aynı zamanda, kötü amaçlı yazılım kullanan saldırılarda, çoğu durumda, verileri çalmak ve gizli kripto para madenciliği yapmak için programlar kullanıldı. Aynı zamanda, internette bu kodun veya trojan kodunun açık erişime gönderildiği hakkında daha fazla bilgi görünür. Saldırı sayısında bu kadar önemli bir artışı ilişkilendirmek için hazır kötü amaçlı yazılım ve sonraki kullanımını elde etme olasılığı ile. Bu tür yazılımların maliyetini, ediniminin karmaşıklığını değerlendirmek ve piyasadaki mevcut arz ve talebi analiz etmek için bu çalışmayı gerçekleştirdik.

Suç siber hizmetler pazarını ayrıntılı bir şekilde analiz ettik ve bir siber suçlunun genellikle geniş bir uzmanlık bilgisine ihtiyaç duyup duymadığını değerlendirmeye çalıştık veya bir saldırı gerçekleştirmek için gölge pazarının temsilcileriyle, kötü amaçlı yazılım siteleri ve sunucuları, geliştiricileri ve dağıtıcıları, botnet sahipleri ve diğerleriyle iletişim kurmak yeterlidir. Analiz sırasında, büyük şirketlerin sunucularının uzaktan yönetimi için sistemlere veya web kabuklarına erişim kimlik bilgilerinin satışa çıkarıldığı bir durumla tekrar tekrar karşılaştık. Alınan bilgileri, koruyucu önlemler alma ve soruşturma yürütme gereği konusunda uyarıda bulunan, güvenliği ihlal edilmiş kuruluşların temsilcilerine hızla ilettik.

Araştırma nesneleri olarak, isimlerini açıklamadığımız en popüler İngilizce konuşan ve Rusça konuşan gölge ticaret platformlarından 25’ini seçtik ve toplamda üç milyondan fazla kayıtlı kullanıcı sayısı seçtik. Toplamda, 10.000’den fazla reklam analiz edilirken, gölge pazarında diğerlerinin olduğu kadar çok olan hileli teklifleri dikkate almadık.

Bu gibi sitelerde satılan çeşitli araç ve hizmetlerin minimum ve ortalama maliyetini hesapladık, arz ve talep oranlarının yanı sıra sunulan hizmetlerin eksiksizliğini ve tam teşekküllü bir siber saldırı gerçekleştirme yeterliliğini tahmin ettik.

özet

Modern siber saldırılar çoğunlukla üçüncü tarafların geliştirmelerinden ve sunucularından geliştirilmemiş ve satın alınmamış ve kiralanmamıştır. Bu sadece siber suçlara giriş eşiğini düşürmekle kalmaz, aynı zamanda saldırıları da kolaylaştırır, aynı zamanda hedefli saldırıları doğru bir şekilde ilişkilendirmeyi zorlaştırır veya imkansız hale getirir.

Aşağıdaki şemada yaygın saldırı türleri gösterilmekte ve saldırının düzenleyicisinin para için gerekli tüm araçları ve araçları edinmesi şartıyla, minimum maliyetleri ABD doları olarak hesaplanmaktadır. Bu nedenle, örneğin, bir kuruluşa yönelik karmaşıklığa bağlı olarak hedeflenen bir saldırının maliyeti, bir bilgisayar korsanlığı uzmanı işe almak, bir altyapı kiralamak ve uygun araçları satın almak da dahil olmak üzere 4,500 dolar arasında değişebilir. Web uygulaması üzerinde tam kontrole sahip bir siteyi kesmek sadece 150 dolara mal olurken, değerlendirmenin 1000 dolara ulaştığı hedeflenen hack siteleri için istekleri olan reklamlar bulduk.

Çalışma, kriptominatörlerin, hack araçlarının, botnet oluşturmak için kötü amaçlı yazılımların, RAT’ın ve fidye yazılımlarının Truva atlarının gölge siber hizmetler pazarında yaygın olduğunu ve kötü amaçlı yazılımların geliştirilmesi ve dağıtımı ile ilgili hizmetlerin doğal olarak talep edildiğini gösterdi. Piyasada 50’den fazla farklı ürün ve hizmet kategorisi sunulmaktadır ve bunlar birlikte herhangi bir saldırıyı organize etmek için kullanılabilir.

1. Bir işletme olarak siber suç

FireCompas’a göre, İnternet sayfalarının sadece% 4’ü arama motorları tarafından endekslenmektedir 6 . Özel forumlar, kapalı veritabanları (tıbbi, araştırma, finans) ve arama motorları tarafından görülemeyen diğer kaynaklar topluca derin web veya derin İnternet olarak adlandırılır. Gizli ve diğer yasal verilere sahip kaynaklara ek olarak, derin ağ toplu olarak karanlık web olarak adlandırılan özel platformlara ve yasadışı forumlara ev sahipliği yapar. Ve bu tür kaynaklar genellikle katılımcıları tarafından sunulan yasadışı ürün ve hizmetlerle ticaret yaptığından, bu kaynakların toplamına gölge piyasası da denir. Araştırmamızın bir parçası olarak, hacker forumlarına odaklandık.

Aşağıda, bir siber saldırının planlanması ve uygulanmasında gölge pazarın yerinin şematik bir temsili bulunmaktadır.

Şekil 1. Gölge pazarı ve siber suç dünyasındaki yeri
Şekil 1. Gölge pazarı ve siber suç dünyasındaki yeri

2. ürünlerin satışı

Gölge pazarındaki ürünlerin büyük çoğunluğu aşağıdaki kategorilere ayrılır:

  • Kötü amaçlı yazılım – fidye yazılımı fidye yazılımı, madenciler, vb.
  • istismarlar – hem bilinen güvenlik açıkları hem de sıfır günlük güvenlik açıkları için;
  • veriler – kişisel, muhasebe, ödeme vb .;
  • erişimler – web kabukları, sitelerden veya sunuculardan alınan şifreler.

Her kategorideki diğer ürünler daha ayrıntılı olarak ele alınacaktır. Belirli bir ürün için arz ve talebin gölge pazarda nasıl sunulduğu ve hangi fiyattan satın alınabileceği gösterilecektir.

2.1. Kötü amaçlı yazılım

Bugün, kötü amaçlı yazılımlar, hiçbir siber saldırının neredeyse imkansız olmadığı bir unsur haline geldi, çünkü otomasyon, davranış hızı, saldırının görünmezliği ile ilgili görevleri çözmenize izin veriyor. Amaca bağlı olarak, kötü amaçlı yazılım birkaç türe ayrılır:

Programcı kötü amaçlı yazılım geliştirmek için 1.5 yıl hapis cezasına çarptırıldı 7

  • kriptomaynery,
  • veri hırsızlığı için truva atları (buharlı),
  • hack araçları
  • DDoS için kötü amaçlı yazılım,
  • fidye yazılımı fidye yazılımı
  • FARE ,? downloader truva atları (yükleyici, damlalık),
  • Botnet oluşturmak için kötü amaçlı yazılımlar,
  • ATM’ler için zararlı yazılımlar.

Aşağıdaki şema, darkweb’de kötü amaçlı yazılım veya başka bir kötü amaçlı yazılım satmanın ne kadar yaygın olduğunu göstermektedir. Çalışmanın bir parçası olarak, bitmiş bir truva atının satışı veya kötü amaçlı yazılım geliştirecek insanları bulma hakkında tam olarak duyurularla karşılaştığımızı belirtmek önemlidir, ancak belirli bir truva atı satın alma niyeti hakkında hiçbir açıklama yapılmamıştır. Bu, bugün çok çeşitli kötü amaçlı yazılım teklifinin neredeyse tamamen talebi karşıladığını ve belirli bir geliştirme gerektiğinde, saldırganların bağımsız olarak yürüttüğünü veya programcılar kiraladığını gösterebilir. Kötü amaçlı yazılım geliştirme için programcıları ayrı ayrı işe alacağız (bkz. Bölüm 3.1.1 ).

Şekil 2. Çeşitli kötü amaçlı yazılım reklamlarının payları
Şekil 2. Çeşitli kötü amaçlı yazılım reklamlarının payları
Şekil 3. Kötü amaçlı yazılımın ortalama maliyeti, ABD doları
Şekil 3. Kötü amaçlı yazılımın ortalama maliyeti, ABD doları

2017 yılında, kripto paraların değerindeki hızlı büyümenin ardından gizli madencilik yazılımı yaygın olarak kullanıldı. Satışa sunulan kötü amaçlı yazılımlar arasında bugün payı% 20’dir. 2018 yılının ilk çeyreğinde kötü niyetli bu tür kullanımı ile siber saldırıların payı% 23’ünü 8 . Kripto para birimi projelerine artan ilgi, özellikle kullanıcıların kripto cüzdanlarından fon çalmayı amaçlayan veri hırsızlığı (stilistler, casus yazılım) için daha fazla kötü amaçlı yazılım yayılmasına neden oldu. Kötü amaçlı yazılım satışı için toplam teklif hacminde% 11’lik bir paya sahip olan tasarımcılar, 2018’in ilk çeyreğinde kaydedilen siber olayların sayısında ilk sırada yer alıyor (toplam sayılarının% 30’u oranında).

Satış tekliflerinin yüzde doksanı, web sitelerine saldırılara, toplu postalara, ayrıca adres ve şifre üreteçlerine, paketleyicilere ve yürütülebilir dosyaların şifreleyicilerine yönelik tasarladığımız hacker araçlarıydı.

Her kategorideki enstrümanların ortalama fiyatları yukarıdaki şemada sunulmaktadır. En pahalı ATM’ler için kötü amaçlı yazılım oldu. Bu şaşırtıcı değil, çünkü suçluların kesinlikle önemli bir kazanç sağlayabileceği yardımı ile.

2.1.1. Veri hırsızlığı için truva atları

Serseriler saldırganların aşağıdaki görevleri çözmesine izin verir:

  • panoya şifre hırsızlığı
  • tuş vuruşlarına müdahale etmek ve bu tuşlara basıldığı pencerenin başlık çubuğunu kaydetmek;
  • antivirüsleri atlayın veya devre dışı bırakın;
  • saldırganın postasına dosya gönderme.
Şekil 6. Autolog keylogger'ı satmak
Şekil 6. Autolog keylogger’ı satmak

Styler maliyeti yaklaşık 10 $ olan çalıntı veriler, posta kutuları, sosyal ağlar ve kişisel bilgiler içeren diğer kaynaklar için kimlik bilgileri hakkında konuşursak birkaç dolardan birkaç yüz dolara mal olabilir. Kötü amaçlı yazılımın yardımıyla, ödeme sistemi kullanıcılarının veya şifrelerin kripto cüzdanlarından çalınması mümkün ise, potansiyel gelir bir saldırı masrafından binlerce kat daha yüksek olacaktır.

2.1.2. Botnet’ler için RAT ve kötü amaçlı yazılım

15.000 para cezası ile 1 yıl hapis mi? programcı kimlik bilgilerini çalmak için bir botnet oluşturma suçlu bulundu 12

Bilgisayar korsanları yalnızca önceden belirlenmiş bazı verileri çalmakla kalmayıp, aynı zamanda sistemde uzun süreli gizli varlık ve komutların uzaktan yürütülmesi olasılığı ile cihaza erişim elde etmek istediklerinde, uzaktan erişim veya uzaktan erişim trojanı (RAT) için Trojan programlarını kullanırlar. Genellikle, bu kötü amaçlı yazılım türü bir saldırgana aşağıdaki seçenekleri sunar:

  • kullanıcı işlemlerini izleme;
  • dosyaları başlatmak ve komutları yürütmek;
  • ekran görüntüsü yakalama;
  • bir web kamerası ve mikrofonun dahil edilmesi;
  • LAN taraması
  • İnternetten dosya indirin.

Gölge pazarında ortalama RAT maliyeti 490 $ ‘dır ve bunlar esas olarak hedefli saldırılar ve tek tek düğümlerin enfeksiyonu için kullanılır. En ünlü RAT’lar DarkComet, CyberGate, ProRAT, Turkojan, Back Orifice, Cerberus Rat, Spy-Net’dir. En popüler DarkComet, ücretsiz olarak dağıtıldı, 2012’ye kadar Suriye hükümetinin yardımıyla muhalefetin bilgisayarlarında casusluk yaptığı ve Çin Vietnam yanlısı sivil toplum örgütlerini izlediğini açıkladı 9 . Bundan sonra, DarkComet projesine erişim kapatıldı, ancak temelde bugün saldırganlar tarafından kullanılan çok sayıda meclis oluşturuldu.

TeamViewer, Uzaktan Manipülatör Sistemi, VNC gibi uzak bir bilgisayarı kontrol etmek için değiştirilmiş yasal programlar temelinde geliştirilen bir dizi RAT ailesi de vardır. Böyle bir kötü amaçlı yazılımın aboneliği aylık yaklaşık 1.000 $ ‘dır. Yasal “kökleri” nedeniyle, bu tür kötü amaçlı bir programın virüsten koruma tarafından algılanmadığını, ancak “bağışçıların” aksine, çalışmalarını gizli modda gerçekleştirdiğini unutmayın. Bu tür yazılımlar genellikle bankalara saldıran hackerların cephaneliğinde bulunabilir. Örneğin, MoneyTaker grubu Rusya ve ABD’deki bankalara yaptığı saldırılar sırasında UltraVNC 10 ile çalıştı . Ve gelişmiş bankacılık Truva Atları Dridex, Neverquest ve Gozi virüslü kullanıcıların 11 iş istasyonlarını yönetmek için hVNC tabanlı modülleri kullanır .

Saldırganlar çok sayıda cihazın kontrolünü ele almayı beklerse, RAT işlevlerine sahip kötü amaçlı yazılımlara ek olarak, virüslü cihazların yönetimini koordine etmek için tasarlanmış özel bir yazılıma ihtiyaç duyacaklardır – bir komut veya kontrol merkezi. Ortak kontrol altındaki virüslü cihaz ağına botnet denir.

Şekil 7. Etkilenen düğümlerle ilgili istatistikleri içeren Botnet komut merkezi arabirimi
Şekil 7. Etkilenen düğümlerle ilgili istatistikleri içeren Botnet komut merkezi arabirimi

Gölge pazarında botnet oluşturmak için kötü amaçlı yazılım fiyatları 200 $ ‘dan başlar. Komut sunucusu için yazılım, belirli bir sunucuyla (oluşturucu) çalışmak üzere yapılandırılmış truva atları oluşturmak için yazılım ve truva atı için ek modüller de dahil olmak üzere eksiksiz bir set 1000-1500 dolara mal olabilir. Aynı zamanda, bir botnet, örneğin DDoS saldırıları yapmak için sadece kullanılıyorsa, bir aydan daha kısa sürede ödeme yapar.

Şekil 8. Bir bankacılık botnetinin satışı
Şekil 8. Bir bankacılık botnetinin satışı

2.1.3. ATM Truva Atları

Kendilerini hızla zenginleştirmek isteyen siber suçlular tarafından umut edilen bir başka kötü amaçlı yazılım türü de ATM’ler için Truva Atları’dır. Biz “ATM’ler örnek GreenDispenser saldırılar: organizasyon ve teknoloji” 2017 anketi içinde geri detaylı olduğu ATM’ler üzerinde Mantık saldırılar 13 ve 2018 yılı başında bu konu tekrar ABD’de ATM’lerde yapılan saldırılar dizisi sırasında alaka onaylamıştır 14 .

ATM’ler için VPO, hazır pahalı yazılımların en pahalı sınıfıdır; fiyatları 1.500 dolardan başlar. Bu tür programların geliştirilmesi sadece iyi programlama becerileri değil, aynı zamanda çeşitli üreticilerin ATM’lerinin iç yapısı hakkında bilgi gerektirir.

Şekil 9. ATM dağıtıcısını yönetmek için bir dizi yazılım satmak
Şekil 9. ATM dağıtıcısını yönetmek için bir dizi yazılım satmak

Tabii ki, kullanımından kaynaklanan potansiyel kâr değeri de kötü amaçlı yazılımın piyasa değerini etkiler: bir ATM’ye yaklaşık 8.000 ruble (yaklaşık 200.000 $, 120.000 £) eşdeğer bir ATM’ye yerleştirilir. Bir kötü amaçlı yazılım, aynı tür ATM’lerin çoğuna hemen saldırmak için kullanılabilir, bu nedenle ceza grubunun koordineli eylemleri iyi para kazanmasına izin verir. Bu nedenle, Avrupa Güvenli İşlem Birliği’ne (EAST) göre, 2017’de kötü amaçlı yazılım kullanan ATM’lere 192 saldırı yapıldı, resmi hasar 1,52 milyon avro 15 idi . Ayrıca 2016 yılına göre olay sayısı% 231, toplam hasar% 230 arttı.

2.1.4. Fidye Yazılımı Truva Atları

Bu tür kötü amaçlı yazılımlar, 2017’de şifreleme trojan saldırılarının yaygın kullanımı nedeniyle bugün muhtemelen en ünlü olanıdır.

IBM araştırmasına göre, ABD şirketlerinin% 70 kadarı verilerini kurtarmak için fidye ödedi 16 . Rus şirketleri için bu istatistiklerin hesaplanması zordur, ancak yine de uygulamamızda, olayları bir kereden fazla araştırmak, kurbanların ödemeyi tercih ettiği durumlar olmuştur. Buna dayanarak, ilk başarılı kitle saldırısından sonra maliyetlerin tekrar tekrar ödendiği açıktır. 2017’deki en büyük fidye yazılımı saldırıları WannaCry, NotPeyta, BadRabbit, Locky, Cerber salgınlarıydı ve fidye yazılımı kullanan saldırıların toplam hasarı 1,5 milyar doları aştı.

Böyle bir kötü amaçlı yazılım edinmenin ortalama maliyeti 270 $ ‘dır. Sadece kripto para biriminde ödenebilen fidye, fidye yazılımı dağıtıcıları tarafından genellikle kendi başlarına belirlenir ve 200-500 $ ‘dır. Örneğin, WannaCry ve NotPetya Truva Atları tarafından engellenen verilerin şifresini çözmek için ayarlanan fidye 300 $ olarak belirlendi.

Günümüzde, kötü amaçlı yazılım ve özellikle fidye yazılımları dağıtmanın en gelişmiş yöntemi “hizmet olarak” satış modelidir. Alıcı yalnızca gerekli başlangıç ​​sayısı, çalışma süresi veya oluşturulan dosya sayısı için ödeme yapar.

Şekil 10. Fidye yazılımı Truva Atı Kiralama Duyurusu
Şekil 10. Fidye yazılımı Truva Atı Kiralama Duyurusu

Gelirlerini artırmak için, şifreleme geliştiricileri yakın zamanda sözde ortaklık programı altında dağıtmaya başladılar. Satıcı, kişiselleştirilmiş bir şifreleyici dosyası ve etkilenen düğümler ve yapılan ödemelerle ilgili istatistikleri gösteren kişisel hesabınıza erişmek için bir bağlantı iletir. Alıcının görevi truva atı yaymaktır. Truva atının bu kopyasını kullanan saldırıların kurbanı fidye ödediğinde, satıcı ödemeyi eksi payını alarak dağıtıma aktarır. Tipik olarak, satıcı% 15-50 tutar ve distribütör sırasıyla% 50-85 alır. Bu şemaya göre, kriptograflar Gandcrab, Tantalus, Aleta, Prenses, Hızlı, Scarab, Sfenks, Lovecraft, Onyonlock ve diğerleri dağıtılıyor. Örneğin

Şekil 11. Şifreleyicilerin satışına ilişkin teklifler
Şekil 11. Şifreleyicilerin satışına ilişkin teklifler

Diyagramdan da görülebileceği gibi, çalışma sırasında, kötü amaçlı yazılım pazarının bu bölümünde en yaygın olarak temsil edilen ortaklık programıdır. Bu anlaşılabilir bir durumdur, çünkü bir saldırganın kötü amaçlı yazılımlar ve çalışmaları için altyapı ile ilgili teknik yönleri, ayrıca programlama becerilerini ve hack sistemlerini düşünmesi gerekmez. Servise erişmek için ayda 90 dolarlık maliyetler için, cüzdanına gönderilen dağıtım için hazır bir fidye alır ve bu fidye ilk ödenmesinden sonra maliyetleri “yener”.

2.2. patlatır

İstismar, yazılımdaki güvenlik açıklarını kullanarak bir bilgisayar sistemine saldırı yapılmasına izin veren bir program veya program kodudur.

Web Windows uygulamaları için ortalama 2540 $ istismar maliyeti

Yazılımdaki güvenlik açıkları ve bunlardan yararlanma hakkında bilgi gölge pazarında oldukça değerlidir. Örneğin, sitelerden birinde, 2017-2018’de satışa sunulan istismarların ortalama fiyatı 2540 $ idi. Bunlar arasında, istismarların% 38’i Windows ailesinin işletim sistemlerindeki veya Windows altında çalışan yazılımlardaki güvenlik açıklarına yönelikti. İstismarların beşte biri (% 19) Java, Adobe Flash gibi platformlar arası teknolojiler için tasarlanmıştır; saldırganlar yalnızca Windows işletim sistemi ailesinin kullanıcılarına değil Linux, Android, macOS’a da saldırabilir. OS’nin macOS ailesindeki güvenlik açıklarından yararlanma payı, toplam arzın% 5’i idi ve maliyet 2.200 dolar ile 5.300 dolar arasında değişiyordu.

Şekil 12. İstisna ticaret platformu
Şekil 12. İstisna ticaret platformu

Önerilen istismarların % 38’i Windows ve bu işletim sistemi uygulamaları ile ilgilidir

Şekil 13. İstismar kategorileri
Şekil 13. İstismar kategorileri

Gölge pazarındaki en değerli olanlar sıfır günlük güvenlik açıklarından yararlanmalardır: bu tür güvenlik açıkları için üretici, yazılım eksikliğini gidermek için henüz bir güncelleme yayınlamamıştır. Ancak, bir güncelleştirmenin zaten yayınlanmış olduğu, ancak kullanıcıların yüklemediği durum o kadar yaygındır ki, saldırganlar zaten tanımlanmış ve yayımlanmış güvenlik açıkları için istismarları başarıyla kullanmayı başarabilir. Ayrıca, verilerimize göre, güvenlik açığı ayrıntılarının yayınlanması ile 2017’de ilk istismar girişimleri arasındaki minimum süre sadece üç saat 17 idi .

Geçtiğimiz yılın en çarpıcı örneği , güvenlik açığını ortadan kaldıran güncelleştirmenin saldırıdan iki ay önce Microsoft web sitesinde bulunmasına rağmen, etkilenen cihazların sayısının 500 bin 18’i aştığı WannaCry fidye yazılımı saldırısıydı.

Şekil 14. Bir istismar kurucusunun satılması
Şekil 14. Bir istismar kurucusunun satılması

2.3. veri

Veriler gölge pazarına farklı şekillerde girer: örneğin, çeşitli hizmetlerden kişisel bilgi ve kimlik bilgilerini kasıtlı olarak aldatan siber suçlulardan veya bir şirkete hedefli bir saldırı sırasında da müşteri veritabanını alan suç çetelerinden.

Gölge pazarında satan ve satın alan aşağıdaki veri kategorileri ayırt edilebilir:

  • sosyal ağlar, çevrimiçi bankalar gibi çeşitli İnternet hizmetlerinden girişler ve şifreler;
  • banka kartı bilgileri;
  • kimlik belgelerinin taranmış kopyaları (pasaport, sürücü belgesi) dahil kişilerin kişisel verileri;
  • şirketlerin mali tabloları, kurucu belgelerin taranmış kopyaları ve diğer gizli belgeler.
Şekil 15. Satış verisi türleri
Şekil 15. Satış verisi türleri

Çeşitli hizmetler için kullanıcı kimlik bilgilerinin satışı için darkweb’deki en yaygın reklamlar. Medyanın İnternet’teki belirli bir hizmete erişmek için parolalarla veritabanı sızıntıları hakkında ne sıklıkta bilgi sızdırdığı göz önüne alındığında bu şaşırtıcı değildir. Bu sızıntıların çoğu halka açık değildir.

450.000 with para cezası ile 6 yıl hapis cezası , suçlu RB sistemi aracılığıyla banka müşterilerinin hesaplarından para çalmaktan mahkum edildi 19

2.3.1. Kullanıcı bilgileri

Hesaplar arasında, saldırganlar için en değerli olan ödeme sistemleri, çevrimiçi bankalar ve kripto para borsalarının kullanıcılarının giriş ve şifreleri. Ebay veya Amazon gibi popüler çevrimiçi mağazalardan şifreler de talep görmektedir, çünkü banka kartları genellikle suçluların başka birinin hesabından alışveriş yapmasına izin veren kullanıcıların kişisel gösterge panolarına eklenmiştir veya bu ticaret platformlarını para kazanmak için kullanırlar. başka bir kişi adına mal satın alarak banka kartlarını çaldı ve daha sonra tekrar sattı.

Şekil 18. Çeşitli hizmetlerin kullanıcılarının kimlik bilgilerini satmak
Şekil 18. Çeşitli hizmetlerin kullanıcılarının kimlik bilgilerini satmak

Online bankalar için ortalama 22 $ kullanıcı verisi maliyeti

Çoğu kimlik bilgisi 10 dolara kadar satış yapar. Sosyal ağlardan ve diğer İnternet hizmetlerinden çalınan hesapların birkaç binden birkaç milyona kadar gruplar halinde satıldığını unutmayın. Bu kitlerin fiyatları onlarca ila yüzlerce dolar arasında değişiyor.

Çevrimiçi bankalarda kişisel hesaplara erişim için kimlik bilgileri ayrı ayrı satılır; Ortalama erişim fiyatı 22 $ olan hesaplar, onlarca dolar ile on binlerce arasında bir bakiyeye sahiptir.

Bir ödeme sisteminin saldırıya uğramış bir kullanıcı hesabında ortalama 5840 ABD doları

Şekil 19. Saldırıya uğramış hesaplardaki fonların dağılımı, $
Şekil 19. Saldırıya uğramış hesaplardaki fonların dağılımı, $

2.3.2. Banka kartı bilgileri

Gölge pazarında satılan bir diğer veri kategorisi banka kartı verileridir. Aşağıdaki şekillerde para almak için kullanılırlar:

  • İnternet üzerinden mal alıp satmak;
  • ödeme sistemleri yoluyla nakit çıkışı;
  • daha sonra ATM’den para çekerken kullanılabilen çift banka kartları yapmak.
Şekil 20. Banka kartı verilerinin satıldığı site
Şekil 20. Banka kartı verilerinin satıldığı site

Bir banka kartındaki verilerin 9 $ maliyeti

İlk iki durumda, saldırganın, ihraç eden bankanın sahibine bir SMS mesajında ​​gönderdiği bir onay koduna ihtiyacı olabilir. Bu sorun, belirli bir cep telefonu numarası için aramaların ve SMS mesajlarının ayrıntılarını sağlayan gölge servis sağlayıcılarının yardımıyla da çözülebilir. Ödeme yapmak için bir defalık kod içeren bir SMS mesajının metni hemen 250 $ karşılığında alınabilir.

Şekil 21. Arama ayrıntılarını sağlama ve SMS mesajlarına müdahale etme hizmetleri
Şekil 21. Arama ayrıntılarını sağlama ve SMS mesajlarına müdahale etme hizmetleri

Hesapta birkaç yüz ila birkaç bin dolarlık bir bakiye olan bir banka kartının verileri ortalama 9 $ karşılığında satılmaktadır.

2.3.3 Kişisel ve gizli belgelerin taranmış kopyaları

Gölge pazarında satın alınabilen veya satılabilen başka bir veri kategorisi, aşağıdakiler de dahil olmak üzere çeşitli belgelerin tarama kopyasıdır:

  • kişisel verileri içeren kimlik belgeleri – pasaport, sürücü belgesi, TIN, SNILS, vb.
  • vatandaşların kredi geçmişine ilişkin raporlar dahil finansal belgeler;
  • ticari şirketlerin dahili belgelerinin taranmış kopyaları.

Pasaportun taranmış bir kopyasının ortalama maliyeti 2 $

Şekil 22. Satılan gizli belge türleri
Şekil 22. Satılan gizli belge türleri
Şekil 23. Pasaportların taranmış kopyalarının satışı
Şekil 23. Pasaportların taranmış kopyalarının satışı

Pasaport verileri saldırganlar tarafından çeşitli İnternet hizmetlerine kaydolmak için kullanılır. Örneğin, Yandex.Money sisteminde para, “Name” ile başlayan cüzdan durumuna sahip sistemin diğer kullanıcılarına aktarılabilir. Bu durumu elde etmek için pasaport verileri, telefon numarası, TIN veya SNILS sağlamanız gerekir. Bu durumda, bir saldırganın elindeki herhangi bir kişinin gerçek pasaport verisine sahip olması yeterli olacaktır. Bilgilerin geri kalanını açık kaynaklardan (sosyal ağlar, devlet organlarının kaynakları) alabilecektir. Böyle bir cüzdan, başka bir kişi adına gölge pazardaki diğer katılımcılarla yerleşim yapmasına izin verecek olan saldırganın kimliği ile ilişkili olmayacaktır.

2.4. erişimler

Darkweb’lerde “erişim”, daha sonra dosya indirme veya komutları yürütme becerisine sahip bir siteye veya sunucuya yetkisiz erişim için kullanılabilen bilgileri ifade eder. Erişim çeşitli amaçlarla kullanılabilir.

Şekil 24. Saldırıya uğramış sitelere Exchange erişimi
Şekil 24. Saldırıya uğramış sitelere Exchange erişimi

Örneğin, bir haber sitesinin kontrolünü ele geçiren bilgisayar korsanları, sayfalarından kötü amaçlı yazılım yayabilir ve ziyaretçilere bulaşabilir. Suçlular, müşterilerin banka kartlarının verilerini çalmak için çevrimiçi mağazanın web sitesine erişimi kullanabilir. Devlet kurumlarının siteleri daha çok DoS saldırılarına veya tahrifatına maruz kalır (kaynağın ana sayfasının içeriğini değiştirir).

Sunuculara ve iş istasyonlarına erişim çoğunlukla siber suçlular tarafından fidye yazılımı truva atları dağıtmak için ve aynı zamanda hedefli saldırılar sırasında şirketlerin kurumsal bilgi sistemlerine giriş noktaları olarak kullanılır.

Olumlu Teknolojiler tarafından yapılan dış penetrasyon testi sonuçlarına göre, 2017 yılında kurumsal bilgi sistemlerinin ağ çevresinin güvenliğinin 2016 düzeyinde kalmasına rağmen, saldırı karmaşıklığının önemli ölçüde azaldığı 20 . Bu nedenle, 2016’da saldırı karmaşıklığının vakaların% 27’sinde önemsiz olduğu tahmin edilirse, 2017’de zaten% 56 idi.

Şekil 25. İstenen erişim türleri
Şekil 25. İstenen erişim türleri
Şekil 26. Satışa sunulan erişim türleri
Şekil 26. Satışa sunulan erişim türleri
Şekil 27. Erişim ticaretinde arz-talep oranı
Şekil 27. Erişim ticaretinde arz-talep oranı

En popüler erişim türü, saldırıya uğramış bir siteye web kabuğu veya site içerik yönetim sistemi (CMS) yöneticisinin kimlik bilgileri biçiminde erişimdir. Web kabuğu, daha önce bir web uygulamasındaki bir güvenlik açığından yüklenen ve genellikle veritabanına erişme yeteneğine sahip bir tarayıcıdaki bir sunucunun sunucu işletim sistemine erişimini sağlayan kötü amaçlı bir komut dosyasıdır. Çoğu durumda, böyle bir web kabuğuna sahip bir saldırganın ayrıcalıkları, web uygulamasının kendisinin ayrıcalıklarını aşmaz ve bu nedenle yalnızca sitenin kendisine saldırabilir. Sunucu üzerinde tam kontrol elde etmek için, saldırganın yazılım açıklarını kullanarak kendi başına ayrıcalıklar yükseltmesi gerekecektir.

Aynı teknolojiler kullanılarak çok sayıda site geliştirildiğinden, örneğin, tek bir CMS’de kritik olarak tehlikeli güvenlik açıklarının algılanması, aynı anda birçok siteye otomatik olarak saldırmanıza izin verir. Bu durumda, sunucuya dosya yüklemenizi sağlayacak bir siteye erişim 0.15 $ karşılığında satılabilir.

Saldırıya uğramış kaynak finans, kripto para birimleri, ICO veya bir çevrimiçi mağaza ile ilgiliyse, bu tür erişim fiyatları birkaç yüz dolardan başlayıp birkaç bine ulaşabilir.

Şekil 28. ICO sitesine satış erişimi
Şekil 28. ICO sitesine satış erişimi

Sunucuya erişim genellikle sunucu adresi ve RDP veya SSH protokollerini kullanarak oturum açmak için kullanılan kullanıcı kimlik bilgileridir. SSH erişimi için küçük bir talep, bu protokolün çoğunlukla Linux çalıştıran sunuculara bağlanmak için kullanılması ve saldırganların geleneksel olarak Windows çalıştıran bilgisayarlara saldırmak için kullanılmasıdır. Bir düğüme erişim kimlik bilgilerinin fiyatları birkaç dolardan başlar ve birkaç yüze kadar çıkabilir. Örneğin, bir ATM’ye RDP erişimi 500 dolara mal olabilir.

Şekil 29. Uzak sitelere RDP erişimi için kimlik bilgileri satma
Şekil 29. Uzak sitelere RDP erişimi için kimlik bilgileri satma

3. Hizmetler

Saldırıyı hazırlamak için saldırganlar genellikle üçüncü tarafların yardımına başvururlar. Aynı zamanda, çalışanlar işlerinin gerçek amacının farkında olmayabilir: dar odaklanmış bir görevle emanet edilirler, bundan sonra söz verilen miktarda para alırlar. Bu tür serbest çalışanların hizmetlerine ek olarak, siber suçlular, saldırılar için gerekli altyapıyı ve kaynakları (özel sunucular, VPN’ler, botnetler ve diğerleri) sağlayan hizmetlerle ilgilenmektedir.

Şekil 30. Hizmet talebi
Şekil 30. Hizmet talebi
Şekil 31. Hizmet teklifi
Şekil 31. Hizmet teklifi

Darkweb’deki en büyük talep, kötü amaçlı yazılım oluşturma ve dağıtma (% 55) ile posta, siteler ve uzak sunucuları (% 17) hapsetmeyle ilgili hizmetlerdir. Teklifler çoğunlukla kötü amaçlı yazılımlarla da ilişkilidir (% 28). Aynı zamanda, barındırma ve VPN hizmetleri (% 26), tarama hizmetleri, beğeniler, yayınlar, vb., Botnet kaynaklarını kullanma (% 16) ve nakit çekme hizmetleri (% 10) için önemli sayıda teklif vardır. .

Şekil 32. Gölge pazarında hizmet arz ve talep oranı
Şekil 32. Gölge pazarında hizmet arz ve talep oranı

3.1. HPE ile ilgili hizmetler

Kötü amaçlı yazılım pazarında hazır çözümler olmadığında ve suçlunun belirli bir trojan geliştirmesi gerektiğinde, bunu kendi başına yapabilir veya bu sorunu çözmek için bir programcı bulma konusunda bir reklam yayınlayabilir. Aşağıdaki şemadan da görebileceğiniz gibi, kötü amaçlı yazılım geliştirme talebi mevcut arzdan üç kat daha fazladır, bu da günlük olarak suçluların saldırı yöntemlerini değiştirdiği, savunmaları ve daha kârlı suç şemalarını atlatmanın yeni yollarını aradığı anlamına gelir. Buna ek olarak, dün sipariş için kötü amaçlı yazılım oluşturarak para kazandıran programcılar, bugün hazır çözümler satıcıları kategorisine geçmeye başlıyor, çünkü bu daha karlı bir iş.

Kötü amaçlı yazılımların gizlenmesi, çalıştırılabilir kodun işlevselliği analiz etmeyi zorlaştıran bir görünüme getirmesi, genellikle geliştirme hizmetinin maliyetine dahil edilir, bu nedenle nadiren ayrı sipariş edilir, ancak bu hizmet teklifler arasında hala mevcuttur.

Benzer şekilde, darkweb’de, yeni oluşturulan kötü amaçlı yazılımın dağıtılacağı hizmetleri de bulabilirsiniz. Kötü amaçlı yazılımların dağıtımına yönelik talep, arzdan önemli ölçüde yüksektir. Suçlunun kendi botnet’i yoksa ve e-posta ile posta ile uğraşmak istemiyorsa, o zaman piyasada uygun hizmetleri bulması gerekir.

Şekil 33. Kötü amaçlı yazılımlarla ilgili hizmetlere olan talep
Şekil 33. Kötü amaçlı yazılımlarla ilgili hizmetlere olan talep
Şekil 34. Kötü amaçlı yazılımlarla ilgili hizmetlerin teklifi
Şekil 34. Kötü amaçlı yazılımlarla ilgili hizmetlerin teklifi
Şekil 35. Kötü amaçlı yazılımlarla ilgili hizmetlerin arz ve talep oranı
Şekil 35. Kötü amaçlı yazılımlarla ilgili hizmetlerin arz ve talep oranı

3.1.1. Kötü amaçlı yazılım geliştirme

HPE geliştirme hizmetleri, karanlık web sitelerinde ortalama 500 $ ‘dan fiyatlandırılır. Genellikle, yalnızca geliştirme değil, aynı zamanda tersine mühendislik de gereklidir (örneğin, kodu açık veya kapalı kaynaklardan elde edilemeyen mevcut olanlara dayalı yeni bir kötü amaçlı yazılım oluşturmak için).

Şekil 36. Özel bir kötü amaçlı yazılım geliştiricisi arama
Şekil 36. Özel bir kötü amaçlı yazılım geliştiricisi arama

İhtisas tesislerinde, ters mühendisler için iş teklifleri proje başına 1.000 $ ‘dan başlar.

Şekil 37. Arama tersi mühendis
Şekil 37. Arama tersi mühendis

3.1.2. Kötü amaçlı yazılımların gizlenmesi

Kötü amaçlı yazılımların geliştirilmesiyle ilgili karanlık web sitesinde, paketleme, gizleme, yürütülebilir dosyaların şifrelenmesi ve tüm olası antivirüslerle dosya tarama gibi çeşitli hizmet alanları oluştu. Bu alanları uygulayan hizmetlerin ve çözümlerin görevi, son yürütülebilir dosyanın çoğu popüler antivirüs tarafından algılanmamasını sağlamaktır, ideal olarak, herhangi biri tarafından mümkün olduğunca uzun süre algılanmamalıdır.

Genellikle ilk “temizleme”, gizleme veya dosya şifrelemesinin kötü amaçlı yazılımın fiyatına dahil olduğu anlaşılmaktadır. Ek temizlik, kötü amaçlı yazılımın temel maliyetinin% 5-10’unu oluşturur. Satıcı-geliştirici bu tür bir dosya değişikliğine dahil değilse, alıcı her zaman ortalama 20 $ ‘a mal olan üçüncü taraf gizleme hizmetlerini kullanabilir.

Birkaç kuruş için birkaç düzine antivirüs içeren bir dosyayı taramanıza izin veren hizmetler vardır. Düzenli olarak daha fazla dosyayı kontrol etmesi gerekenler için aylık 25 $ abonelik sunulur.

Şekil 38. Düzinelerce antivirüs ile anonim dosya taraması
Şekil 38. Düzinelerce antivirüs ile anonim dosya taraması

3.1.3. Kötü amaçlı yazılım dağıtımı

Bir siber saldırı gerçekleştirmek için kötü amaçlı yazılımın kendisi yeterli değildir; yine de kurbanların bilgisayarlarına teslim edilmesi gerekir. Saldırganlar kötü amaçlı yazılımları çeşitli şekillerde yayabilir:

  • kimlik avı e-postalarında ek olarak;
  • dosyayı kimlik avı e-postalarında, SMS’de, anlık mesajlaşmalarda ve sosyal ağlarda mesajları indirmek için bağlantı aracılığıyla;
  • saldırgan siteleri tarafından saldırıya uğrayan veya kontrol edilen güncellemeler veya yardımcı programlarla sahte dosyalar biçiminde;
  • botnet aracılığıyla.

Kullanıcıları virüslü bir kaynağa çekmek için saldırganlar trafik satanların hizmetlerini kullanır. Ortalama maliyeti yaklaşık 15 ABD doları olan bu hizmet, kullanıcı akışlarının, zaten trafiğe sahip zaten saldırıya uğramış bir siteden veya popüler arama motorlarının içeriksel reklam sistemi aracılığıyla davetsiz misafirlerin kontrol ettiği bir siteye yönlendirilmesini içerir.

Şekil 39. Dağıtım hizmetleri talebi
Şekil 39. Dağıtım hizmetleri talebi
Şekil 40. Dağıtım hizmetlerinin teklifi
Şekil 40. Dağıtım hizmetlerinin teklifi
Şekil 41. Kötü amaçlı yazılımın dağıtılması için hizmetlerin arz ve talep oranı
Şekil 41. Kötü amaçlı yazılımın dağıtılması için hizmetlerin arz ve talep oranı

Botnet sahipleri, hizmet olarak üçüncü taraf dosyalarını denetlenen aygıtlara indirmeyi ve ardından başlatmayı teklif eder. Yani, 50 $ için 1000 rastgele düğüm için bir dosya indirebilir ve yaklaşık 400 $ için bu düğümlerin coğrafi konumunu seçebilirsiniz. Bu tür hizmetler, belirli bir faaliyet alanındaki şirketlere saldıran gruplar tarafından kullanılır. Örneğin, bankalara bir saldırı hazırlanıyorsa, botnet sahibinden finansal kurumlarla ilgili virüslü cihazların ve düğümlerin IP adreslerinin bir listesi istenir ve karşı tarafları seçilir.

Şekil 42. Botlara kötü amaçlı yazılım indirmek ve yüklemek için Botnet hizmetleri
Şekil 42. Botlara kötü amaçlı yazılım indirmek ve yüklemek için Botnet hizmetleri

Başarılı bir kimlik avı saldırısı için, suçlunun genellikle kötü amaçlı yazılım dağıtmak veya kullanıcı kimlik bilgilerini ve fatura bilgilerini çalmak için kullanacağı bir web sitesi oluşturması gerekir. Gölge pazarında sitenin basit bir kopyasını oluşturmak 50-150 $ ‘a mal olurken, girilen verileri doğrulayan ve orijinal siteye saldırdıktan sonra (şüpheye yol açmamak için) kullanıcıyı yönlendiren kimlik doğrulama formlarına sahip gelişmiş bir sürüm 200 dolardan fazla mal olacak. Aynı zamanda, uzmanlarımız tarafından yürütülen bilgi güvenliği konularında çalışanların farkındalığının değerlendirilmesine göre, vakaların% 27’sinde saldırganların kimlik bilgileri talebi olan bir web kaynağına bağlantılar içeren kimlik avı e-postaları göndererek başarı elde etmektedir 21 .

En alakalı örnek: 2017 yılında, ICO’lara saldırma yöntemi, kimlik avı e-postalarının toplu postalanmasıyla projenin resmi web sitesini aynı anda klonlayarak yayıldı. Kullanıcılar böyle bir kaynağa gitti ve belirtilen sahte cüzdan adreslerine kripto para birimi aktardı. Böylece, projeye yatırım yapmak yerine potansiyel yatırımcılar suçlulara sponsor oldu. Bu, 2018’in başlarında, saldırganların Etherium 22 kripto para biriminde 1.000.000 dolardan fazla çalmayı başardıkları BeeToken ICO projesiydi .

Şekil 43. Kimlik avı sitesi geliştirmenin maliyeti
Şekil 43. Kimlik avı sitesi geliştirmenin maliyeti

3.2. Altyapı

VPN hizmetleri, etki alanı kayıt şirketleri ve barındırma sağlayıcılarının yasal Internet ticari sağlayıcıları, Internet’te yaygın olarak temsil edilmektedir. Saldırganlar, diğer kişilerin pasaport verilerine göre kaydolarak bu tür sağlayıcıların hizmetlerini nispeten az parayla satın alabilirler.

Şekil 44. İstenen altyapı hizmeti türleri
Şekil 44. İstenen altyapı hizmeti türleri
Şekil 45. Sunulan altyapı hizmeti türleri
Şekil 45. Sunulan altyapı hizmeti türleri
Şekil 46. Altyapı ile ilgili hizmetlerin arz ve talep oranı
Şekil 46. Altyapı ile ilgili hizmetlerin arz ve talep oranı

Siber saldırılar yaparken, siber suçlular anonimliklerini sağlamak için hem yasal hem de yasadışı VPN hizmetlerini kullanır. Siber suçluların bir hizmet seçtikleri ana kriter, hizmetin kullanıcılarını kaydetmek için bir sistemin olmaması, yani IP adresi ile belirli bir kullanıcı arasındaki yazışmayı geri yüklemek için gerçek kayıtların olmamasıdır.

Sezonluk indirimleri ve daha fazlasını dikkate almazsanız, ticari VPN hizmetlerinin fiyatı aylık 5 $ ‘dan başlar. Bununla birlikte, bazı kullanıcılar daha pahalı hizmetleri tercih ederler, maliyeti ayda 15 dolar olan güvenilirliklerine güvenir. Bu tür hizmetler yasaldır ve İnternet’te açık bir şekilde yayınlanmıştır, ancak reklamları, bazı suçluların diğer suçluları aynı seçimi yapmaya teşvik eden belirli VPN hizmetlerini kullanma deneyimi hakkında geri bildirim bıraktığı karanlık web forumlarında bulunabilir.

Durum, saldırganlar tarafından kötü amaçlı yazılım, barındırma siteleri veya saldırının gerçekleştirildiği ara düğümler için komut merkezleri olarak kullanılan özel sunucuların kiralanması ile benzerdir. Sahipleri, bu tür sunucuları aylık 80 $ ‘dan başlayan fiyatlarla gölge forumlarda kiralamaktadır.

Kiralık bir barındırma ek olarak, bir kimlik avı sitesi oluşturmak için, bir saldırganın bir kayıt şirketinin hizmetleri kullanılarak 3-10 $ karşılığında elde edilebilen bir alan adına ihtiyacı vardır. Genellikle, bir alan adı satın alırken, kayıt şirketi böyle bir uygulama için başvuran kullanıcının pasaport bilgilerini kontrol eder. Bununla birlikte, yukarıda belirttiğimiz gibi, pasaport taraması satın almak bir saldırgan için büyük bir sorun değildir.

Bazı hizmetler kripto para biriminde alan adı kaydı için ödeme kabul eder – bir kripto cüzdanının birkaç dakika içinde oluşturulmasına ve sahibiyle ilgili bilgi içermemesine rağmen, anonim kalmanıza izin verir. Bu tür hizmetler anlaşılır bir şekilde talep görmektedir.

3.3. Spam ve kimlik avı

Bugün, kimlik avı veya spam postalarla karşılaşmayan neredeyse hiç İnternet kullanıcısı yok.

Şekil 47. Postalama hizmetleri talebi
Şekil 47. Postalama hizmetleri talebi
Şekil 48. Posta listesi hizmetleri sunun
Şekil 48. Posta listesi hizmetleri sunun
Şekil 49. Postalama hizmetlerinin arz ve talep oranı
Şekil 49. Postalama hizmetlerinin arz ve talep oranı

Potansiyel mağdurların sayısını artırmak için, suçlular genellikle özel forumlarda bulunan toplu posta tekliflerinden yararlanırlar. Bugün, 1 dolardan daha az bir fiyata, gerekli metni ve ekli dosyayı içeren bir e-postayı hemen 1000 rastgele adrese gönderebilirsiniz. Elbette, belirli bir kullanıcı grubunun ilgisini çekebilecek belirli bir konuyu temel alan haber bültenleri sunan hizmetler vardır. Bu gerçek bir iş, çünkü fidye yazılımı Trojan yardımıyla bilgisayarların enfeksiyonu sonucu, bir kurban tarafından bile bir fidye ödemek birçok kez posta maliyetlerini öder.

Şekil 50. Toplu e-postalar için teklif
Şekil 50. Toplu e-postalar için teklif

3.4. Sipariş vermek için kesmek

Genel halkın zihnindeki hackerlar, devlet kurumlarının ve büyük şirketlerin sunucularını çatlatanlarla ilişkilidir. Gerçekte, karanlık web korsanlığı isteklerinin çoğu, web sitelerinde güvenlik açıklarının aranması (% 36) ve e-postadan şifre alınması (% 32) ile ilgilidir. Aynı zamanda, gölge sitelere gelen ziyaretçilerin yalnızca% 23’ü uzak sunucuya saldırı yapabilen bir uzman arıyor. Sunulan hizmetler arasında sosyal ağ ve e-posta hesaplarının (her biri% 33) saldırıya uğraması önde geliyor. Bir yandan bu, bazı insanların başkalarının yazışmalarına erişme arzusundan kaynaklanırken, diğer yandan, bu “hackler” saldırgandan daha az teknik beceri gerektirir.

Şekil 51. Bilgisayar korsanlığı hizmetleri talebi
Şekil 51. Bilgisayar korsanlığı hizmetleri talebi
Şekil 52. Bilgisayar korsanlığı hizmeti teklifi
Şekil 52. Bilgisayar korsanlığı hizmeti teklifi
Şekil 53. Bilgisayar korsanlığı hizmetleri için arz ve talep oranı
Şekil 53. Bilgisayar korsanlığı hizmetleri için arz ve talep oranı

1,5 yıllık özgürlüğün kısıtlanması nedeniyle, bir saldırgan e-posta hizmetlerinden kimlik bilgilerini çalmaktan hüküm giydi 23

3.4.1. E-posta ve sosyal ağ hesaplarını kesmek

Gölge sitelerde, popüler sosyal ağlardaki posta kutuları ve hesaplar için bilgisayar korsanlığı hizmetleri 40 $ ‘dan başlar.

Bilgisayar korsanlarının ve müşterilerinin birinin gelen kutusuna veya sosyal medya hesabına erişmesi gerekebilmesinin birçok nedeni vardır. Bazıları ünlü kişilerin özel yazışmalarına, diğerleri ise iş rakiplerinin gizli bilgilerine erişmek isterken, diğerleri sadece arkadaşlarını veya akrabalarını kontrol etmek ister.

Şekil 54. Posta kutularını kesmek
Şekil 54. Posta kutularını kesmek

Ayrıca, e-postaya otomatik olarak erişim, bu e-postanın bir hesabı kaydetmek için kullanıldığı çeşitli sitelerdeki tüm kullanıcı kişisel hesapları üzerinde kontrol sahibi olmanızı sağlar: sosyal ağlar, forumlar, çevrimiçi mağazalar, elektronik cüzdanlar ve diğer hizmetler olabilir. Davetsiz misafirin bu sitelere bir şifre kurtarma isteği göndermesi ve mektuptaki bağlantıyı izleyerek kendi başına değiştirmesi yeterlidir. Bu nedenle, saldırganların bir hesabı postadan kırması, bir kişiye ait birçok farklı hizmetten kimlik bilgilerini çalmaya çalışmaktan çok daha kolay ve etkilidir, bu nedenle bu hizmet talep edilmektedir.

10.000? bir devlet kurumuna saldırmaya teşebbüs ettiği için öğrenciye para cezası verilmiştir 25

3.4.2 – Bilgisayar korsanlığı siteleri, sunucular, ağ donanımı

Siteler üzerinde kontrol sahibi olmanın amaçları farklı olabilir: bir kullanıcının veritabanına erişim elde etmek, bir sitede kötü amaçlı içerik yayınlamak, kendi korsanlık becerilerinizi kontrol etmek veya kendinizi ilan etmek, politik görüşlerinizi (örneğin, bir tahrifat kullanmak). Bir saldırı gerçekleştirmek için, suçluların sitenin kontrolünü ele geçirmesi veya bir web uygulamasındaki belirli güvenlik açıklarından yararlanması gerekir. İnternetteki kaynakların çoğunun aşırı derecede düşük güvenliği göz önüne alındığında, bu zor değildir.

Site korsanlığı hizmetleri hem tek bilgisayar korsanları hem de tüm gruplar tarafından sağlanır. Darkweb’de, bir web kaynağını hacklemenin fiyatı 150 $ ‘dan başlar. İncelenen ticaret katlarındaki en yüksek fiyat 1000 doları aşmadı.

2017 yılında, web sitesi korsanları kripto para birimi projelerine odaklandı – borsalar ve ICO’lar yürüten şirketler. Örneğin, yalnızca projenin web sitesinde ICO’da başlatılan cüzdan numarasını değiştirerek, saldırganlar milyonlarca dolarlık kripto para yatırımcılarını cüzdanlarına yönlendirdi. web kaynakları Hacking ICO saldırının en yaygın yöntem, aynı zamanda en başarılı sadece geçerli: uzmanlarımız tarafından yürütülen ICO güvenlik analizine çalışmaları sırasında, proje web uygulama güvenlik açıklarının% 32 bulunmuştur 24 .

Ayrıca, savunmasız siteler, saldırganlar tarafından daha sonra hedeflenen saldırılar için kötü amaçlı yazılım yerleştirmek için kullanılabilir. Bu tür sitelerin sahipleri yanlışlıkla saldırı zincirinde bir bağlantı haline gelir. Benzer bir teknik, yöntemler raporlarımızdan 26 birinde açıklanan Kobalt grubu tarafından kullanıldı .

Ana sayfadaki içeriğin yerini almak için devlet kurumlarının web sitelerini hackleyen hacktivistleri unutmayın.

Şekil 55. Bir takımdaki bilgisayar korsanları kümesi
Şekil 55. Bir takımdaki bilgisayar korsanları kümesi

Şifreleri seçen kötü amaçlı yazılım kullanarak sunucuları kıran uzmanların çalışmalarının haftada 150-250 dolar olduğu tahmin ediliyor. Bu şekilde elde edilen erişim, gölge ticaret katlarında satılır veya örneğin kripto madencileri veya kriptografların yardımıyla saldırganların kendileri tarafından para kazanılır.

Benzer şekilde, ağ ekipmanına erişim kazanırlar: kullanıcılar genellikle üretici tarafından ayarlanan şifreleri değiştirmeyi unutur, bu da saldırganların kolayca almasını sağlar. Çoğu zaman, saldırıya uğramış cihazlar özel bir kötü amaçlı yazılıma bulaşır ve daha sonra DDoS saldırılarında kullanılan bir botnet’e bağlanır.

Ciddi siber suçlular grupları genellikle güvenlik açığı arama ve ağ kaynaklarını hackleme konusunda derin teknik becerilere sahip uzmanlar arar. Çalışılan sitelerde, bu tür yetkinliklere sahip kişilere 3.000 dolar maaş teklif edildiği duyurularla karşılaştık. Aynı zamanda, gruplar web sunucularına ve altyapıya yapılan saldırılar da dahil olmak üzere, saldırı başına maliyeti 500 $ ‘dan başlayan hackleme hizmetleri sağlarlar.

3.5. Damlalar, nakit çıkışı ve içeriden öğrenenler

Hemen hemen tüm siber saldırılar nihayetinde kendilerini zenginleştirmeye kararlıdır. Bu, 2017’deki siber saldırıların% 70’inin finansal kazanç için taahhüt edildiğini düşündüren çalışmalarımızın istatistikleri ile doğrulandı 27 . Ancak, siber suçlu faaliyet sonucu elde edilen kirli para, saldırganlar kendilerini hemen bir banka kartına aktaramazlar. Bu nedenle, suçlular gölge pazarında bulunan bir dizi finansal hizmete başvurmak zorundadır.

Ödeme sistemleri yoluyla fon transferi en çok talep gören bir hizmettir (% 52) ve aynı zamanda teklifler (% 35) arasında en yaygın şekilde temsil edilmektedir. Genellikle, siber suçlular ödeme sistemi hesaplarına bağlı kullanıcıların banka kartlarından para çalmak için kullanırlar. Bu tür hizmetlerin ücretlendirdiği ortalama komisyon, transfer tutarının% 20’sidir.

Şekil 56. Finansal hizmetler talebi
Şekil 56. Finansal hizmetler talebi
Şekil 57. Finansal hizmetlerin sunumu
Şekil 57. Finansal hizmetlerin sunumu
Şekil 58. Finansal hizmetlerin arz ve talep oranı
Şekil 58. Finansal hizmetlerin arz ve talep oranı

Nakit para ya da diğer hileli faaliyetler için çeşitli programlar uygulamak için, suçluların finans kurumlarında suç ortağı olması gerekir. Örneğin, bir iletişim salonundan bir çalışanın ödeme sistemlerinden birinde bir cüzdan kullanıcısını tanımlaması gerekebilir. Bir banka çalışanı, mudiler ve borçlular hakkında bilgi içeren bir müşteri veritabanına erişebilir. Banka çalışanlarının bilgi ve rızaları olmadan müşteri hesaplarına kart düzenledikleri durumlar vardır 28 .

Şekil 59. Çalışan araması
Şekil 59. Çalışan araması

Daha fazla eylemin tanımlanmasını gerektirdiği veya maruz kalma riskinin yüksek olduğu durumlarda, suçlular damla adı verilen kişilerin hizmetlerine başvururlar. Damlalar, birkaç bin ruble için kirli işler yapan, çift kartlardan ATM’den para çekme, adlarına tüzel kişi kaydetme, posta alma ve gönderme, vb. Gibi aptallardır.

Şekil 60. Damlalı damla çubuğu
Şekil 60. Damlalı damla çubuğu

Anonimliklerini korumak için siber suçlular doğrudan kripto cüzdanlarına veya banka hesaplarına para çekmezler. Örneğin, bir saldırgan, işlemlerin izlenememesi için bir cüzdandan diğerine kripto para birimini aktarmak istiyorsa, o zaman bitcoin mikserlerinin hizmetlerini kullanabilir. İlk cüzdandaki kripto para fonları hizmet cüzdanına aktarılır, daha sonra bu cüzdanların kredilendirilmesi gereken ikinci cüzdanın adresi gösterilir. Kripto para birimi, önceden bilinmeyen öngörülemeyen adreslerden belirtilen adrese ulaşır. Bu tür hizmetlerin sahipleri, işlemleri karıştırmak için kripto para birimi borsalarının ve bahis şirketlerinin özelliklerini kullanır.

Şekil 61. Para temizleme
Şekil 61. Para temizleme

Tüm gölge forumlar transferlere, kara para aklama ve banka hesaplarından para çekme işlemlerine ayrılmıştır. Kumarhaneler, bahisçiler, kukla tüzel kişiler ile ilgili birçok şema vardır ve bunlar bu çalışmada dikkate alınmamıştır.

Şekil 62. Banka çalışanlarını "nakit çıkışı" için arama
Şekil 62. Banka çalışanlarını “nakit çıkışı” için arama

3.6. botnet

Genel durumda, bir botnet, tek bir kontrol merkezinden bir komutla belirli eylemleri gerçekleştirebilen özel bir truva atı ile enfekte olmuş entegre bir cihaz grubudur. Botnet’in en zararsız uygulaması, hem sıradan kullanıcılar hem de para kazananlar – profesyonel blogcular ve çeşitli İnternet şirketleri tarafından takdir edilen sarma beğenileri ve görünümleri olarak adlandırılabilir.

Şekil 63. Popüler bir platformda video görüntüleme hilesi
Şekil 63. Popüler bir platformda video görüntüleme hilesi

Yani, örneğin, popüler bir video platformuna bir bot gibi bir bot koymak 0.1? Maliyeti, aynı zamanda, popüler bir film kaynağı üzerinde bekleyen derecelendirme bir oy zaten 6?

Ayrıca, botnet kaynakları kripto para birimi madenciliği için kullanılabilir. Bu, elbette, çok fazla para getirmiyor, ama boş bir botnet hiç para getirmiyor. Bir botun Monero kripto para birimini saniyede 40 hash üretkenlikle “mayınlayabileceğini” düşünürsek, bu çalışma sırasında ayda 2 $ ‘lık bir gelire eşitse, 1000 bilgisayarlık bir botnet saldırganın gelirini ayda 2000 $ artıracaktır.

Genel olarak, botnet kaynaklarını kullanma senaryoları yalnızca etkilenen düğümleri kontrol eden kötü amaçlı yazılımın yetenekleri ve davetsiz misafirlerin hayal gücü ile sınırlıdır.

DDoS saldırıları düzenleyen hacker 2 yıl hapis cezasına çarptırıldı 29

3.7. DDoS

Ayrı olarak vurgulanması gereken botnet’i kullanmanın yollarından biri, DDoS saldırılarının organizasyonu. Hacker ekiplerinden, herhangi bir karmaşıklığa sahip DDoS saldırıları gerçekleştirmek için çok çeşitli otomatik hizmet ve teklifler darkweb’de mevcuttur. Örneğin, günde 270 Gbps kapasiteli bir siteye DDoS saldırısının maliyeti yaklaşık 50 $ ‘dır.

DDoS saldırıları en popüler haksız rekabet araçlarından biridir. Neustar 30’a göre , ABD şirketlerinin üçte biri için her saatlik saldırıdan kaynaklanan hasar 250.000 dolar.

Şekil 64. DDoS saldırılarını gerçekleştirmek için hizmet teklifi
Şekil 64. DDoS saldırılarını gerçekleştirmek için hizmet teklifi

bulgular

2018’in ilk çeyreğinde, benzersiz olayların sayısı 2017 yılının aynı dönemine göre% 32 artarken, olayların% 63’ünde kötü amaçlı yazılım bildirildi. Çalışma, kötü amaçlı yazılım oluşturma hizmetlerine olan talebin artık arzdan üç kat daha fazla ve dağıtımın iki katı kadar geniş olduğunu gösterdi. Bu durum, siber suçlulardan bağlı kuruluş programları, kötü amaçlı yazılım kiralama hizmetleri ve “hizmet olarak” dağıtım modeli sayesinde daha erişilebilir hale gelen yeni araçlar için bir talep hakkında konuşmamızı sağlıyor.

Bu eğilim sadece siber olayların sayısındaki artışa katkıda bulunmakla kalmaz, aynı zamanda davetsiz misafirlerin olayları araştırmaya atfetmesi ile ilgili ciddi sorunlar da yaratmaktadır. Bağımsız olarak istismar ve kötü amaçlı yazılım geliştiren veya böyle bir münhasır sipariş veren saldırganlar için açık atıf yapılabilir.

Aynı zamanda, gölge pazarda aynı hizmetleri ve kötü amaçlı yazılımları satın almaları nedeniyle tamamen farklı suçluların yanlışlıkla bir grup olarak sıralandığı ortaya çıkabilir. Aynı şey saldırganın ülkesini belirlemek için de geçerlidir. Kötü amaçlı yazılımın belirli bir dilde yazılması veya harflerin hatalarla yazılması, yalnızca anadil bir konuşmacının bu dili yazdığını ve bilinmeyen bir kişiye sattığını ve forumdaki en basit siber hizmetler ile ticaret yapan zayıf eğitimli bir öğrencinin kimlik avı mektupları yazdığını gösterebilir.

Bütün bunlar, tehdit istihbaratının son derece zor bir süreç olacağına ve muhtemelen anlamsız olacağından,% 100 ilişkilendirme sonuçlarına güvenmek imkansız olacaktır. Ve eğer öyleyse, o zaman mevcut haliyle, tehdit istihbaratı ortadan kalkacak ve uzlaşma göstergelerinden, saldırgan grubu değil, kötü amaçlı yazılım geliştiricisini veya satıcısını belirlemek için vurgu karanlık web analizine geçecektir. Ve zaten saldıran grup hakkında varsayımlar yapmak için kim ve kimden aldığını takip ediyor. Bu yöntemler kendilerini zaten etkili ve aktif olarak kullandılar.

Aynı zamanda, saldırganın saldırıyı organize ederken kullandığı teknikleri ve taktikleri daha ayrıntılı olarak anlamalı ve analiz etmelidir. Genellikle, saldırganın niteliği hakkında kullandığı araçlarla değil, ameliyat sonrası aşamalarda yaptığı hatalarla veya saldırıya uğramış bir altyapıdaki davranış özellikleriyle ilgili sonuçlar çıkarabilirsiniz. Ne yazık ki, birçok nedenden ötürü, birçok şirket hackleme ve büyük olaylarda soruşturma yapmaya hazır değildir – tüm eserleri aramak, saldırı zincirini geri yüklemek ve saldırganların altyapıdaki eylemlerini analiz etmek. Ancak, yüksek sınıf bir ekibin benzer işleri gerçekleştirdiği ve sonuçlarına dayanarak, altyapıyı korumak için öneriler sunduğu durumlarda, bu, örgütün güvenliğini büyüklük sırasına göre arttırır, ayrıca gelecekte saldırganlar için kırılma maliyetini karmaşıklaştırır ve arttırır.

  1. ptsecurity.com/upload/corporate/ru-ru/analytics/Cybersecurity-threatscape-2018-Q1-rus.pdf
  2. goo.gl/v8SwKZ
  3. goo.gl/x8nJPn
  4. goo.gl/1XGBvU
  5. goo.gl/VXUT8z
  6. firecompass.com/blog/darkweb-deepweb-darknet-browsers/
  7. goo.gl/1XGBvU
  8. ptsecurity.com/upload/corporate/ru-ru/analytics/Cybersecurity-threatscape-2018-Q1-rus.pdf
  9. rus.azattyq.org/a/syria-darkcomet-program-oppozition/24648538.html
  10. group-ib.ru/resources/threat-research/money-taker.html
  11. securityintelligence.com/anatomy-of-an-hvnc-attack/
  12. goo.gl/MgwS5B
  13. ptsecurity.com/upload/corporate/ru-ru/analytics/ATM-Security-rus.pdf
  14. krebsonsecurity.com/2018/01/first-jackpotting-attacks-hit-us-atms/
  15. finextra.com/pressarticle/73375/atm-malware-attacks-hit-europe
  16. www-01.ibm.com/common/ssi/cgi-bin/ssialias?htmlfid=WGL03135USEN
  17. ptsecurity.com/ru-ru/premium/web-attacks-2017/
  18. ptsecurity.com/upload/corporate/ru-ru/analytics/Corporate-vulnerabilities-2018-rus.pdf
  19. goo.gl/VXUT8z
  20. ptsecurity.com/upload/corporate/ru-ru/analytics/Corporate-vulnerabilities-2018-rus.pdf
  21. ptsecurity.com/upload/corporate/ru-ru/analytics/Social-engineering-rus.pdf
  22. medium.com/@MikeBacina/buzz-off-ico-phishing-scams-44b8e5620211
  23. goo.gl/vVbJzL
  24. ptsecurity.com/upload/corporate/ru-ru/analytics/ICO-Threats-rus.pdf
  25. goo.gl/ykvZ1D
  26. ptsecurity.com/upload/corporate/ru-ru/analytics/Cobalt-2017-rus.pdf
  27. ptsecurity.com/upload/corporate/ru-ru/analytics/Cybersecurity-threatscape-2017-rus.pdf
  28. 47news.ru/articles/83569/
  29. goo.gl/x8nJPn
  30. hello.neustar.biz/201710-Security-Solutions-Siteprotect-DDoS-2H2017-Report-LP.html