Всем привет! На связи исследовательская группа Positive Technologies. Данные миллиарда людей, похищенные из баз популярных онлайн-магазинов, медицинских компаний, кредитных организаций и операторов сотовой связи оказываются в руках хакеров. То, что вчера считалось надежно защищенным, сегодня предлагается в дарквебе, часто совершенно бесплатно.

Как случилось, что все наши пароли и явки легко становятся добычей хакеров? Какие данные ценятся у хакеров больше всего и почему киберпреступники иногда выкладывают в открытый доступ утекшую информацию? Обсудим в этой статье. Мы изучили почти 1000 объявлений на форумах теневого рынка и свыше 700 сообщений о публично раскрытых инцидентах за первое полугодие 2024 года по всему миру.

А еще мы сняли видео про это – смотрите!

Подводя итоги первой половины 2024 года, сразу отметим главные тренды:

✅ ИТ-отрасль заняла второе место по объему утечек. Цель многих атак — исходный код.

✅ В фокусе у злоумышленников – учетные данные и коммерческая тайна. Объем утечек учетных данных из организаций поднялись до рекордных 21%, на 9 п. п. больше, чем годом ранее. Коммерческая тайна и другая конфиденциальная информация тоже "пошли в народ" — объем ее утечек составил 24%, что на 10 п. п. выше по сравнению с прошлым годом. 

✅ Киберпреступников стали меньше интересовать персональные данные: количество их утечек снизилось: сначала до 37% в первом квартале, вернувшись на уровень 2022 года, а во втором квартале опустились до 25%. Но не стоит расслабляться – утечки персональных данных продолжают иметь внушительные объемы, только одна утечка данных может затронуть до 80% населения страны.

Что случилось в Сальвадоре

💼 В апреле стало известно об утечке персональных данных более 5 млн граждан Сальвадора (примерно 80% населения страны). Злоумышленник разместил дамп данных объемом 144 ГБ с 5,1 млн фотографий жителей страны с указанием соответствующих номеров удостоверения личности гражданина Сальвадора. В состав опубликованных персональных данных также вошли имя, фамилия, дата рождения, телефон, электронная почта и адрес места жительства. Эта один из первых случаев в истории киберпреступности, когда почти всё население страны пострадало от компрометации биометрических данных. Утечка персональных данных граждан Сальвадора предположительно связана с компрометацией криптокошелька Chivo, используемого в государстве для совершения платежных операций в криптовалюте. Напомним, что Сальвадор стал первым государством в мире, официально принявшим криптовалюту в качестве законного платежного средства. Впоследствии на теневом форуме также были опубликованы конфиденциальные данные самого криптокошелька Chivo — исходный код и учетные данные VPN для доступа к сети банкоматов.

Основные места хранения ценных данных, которые атакуют чаще всего:

  • базы данных (записи из таблиц, данные аналитики);

  • пользовательские устройства (файлы, загруженные на рабочие и мобильные устройства);

  • файловые хранилища (общие документы, исходный код);

  • корпоративные хранилища (неструктурированные данные в сыром и сжатом виде: резервные копии, снимки, журналы систем);

  • облачные сервисы (данные для корпоративных сервисов: CRM, ERP и др.);

  • production-серверы (временные файлы).

Кто-то «темнит»?

Анализ утечек конфиденциальной информации тесно связан с исследованием теневого рынка, на котором похитители обычно сбывают украденное. Что же творится на темной стороне коммерции?

В рейтинге стран по количеству объявлений на теневых форумах пятерку лидеров возглавляет Россия с долей в 10%, за ней следуют США, Индия, Китай и Индонезия.

Если говорить о региональном интересе злоумышленников, то чаще всего нам встречались предложения о продаже и бесплатной раздаче данных из стран Азии: на их долю пришлось около трети объявлений (30%). Это связано в том числе и с ростом активности злоумышленников в регионе.

Самым популярным типом данных в дарквебе за исследуемый период стали персональные данные: доля объявлений, связанных с их продажей или раздачей, составила 83%.

Прежде чем говорить о цене данных на теневом рынке, отметим, что не все базы продаются: количество объявлений о бесплатной раздаче (64%) практически в два раза превышает количество объявлений о продаже данных (33%). Больше всего предложений о бесплатной раздаче мы встретили среди российских компаний (88% от общего числа утечек из росcийских компаний).

Выходит, что не все злоумышленники хотят получить деньги?! Не совсем так. Часто они требуют выкуп за нераскрытие украденных данных, и не все жертвы его платят. Кроме того, если нет спроса на продаваемые данные, то мошенники могут спустя какое-то время опубликовать их бесплатно.

Что почем?

Диапазон цен в объявлениях на теневом рынке
Диапазон цен в объявлениях на теневом рынке

Более чем в половине объявлений на теневом рынке стоимость данных не превышает 1000 долларов. Дешевле всего продается стандартный набор персональных данных (ФИО, телефон, эл. почта и дата рождения), преимущественно из сферы услуг, торговли, онлайн-сервисов, науки и образования. Общее же количество уникальных номеров телефонов или адресов эл. почты незначительно влияет на стоимость объявления — 10 тыс. строк и 10 млн строк могут стоить одинаково.

💼 Во втором квартале 2024 года кибератаке подверглась компания Cylance, произошла утечка 34 млн электронных писем, а также неизвестного объема персональных данных клиентов и сотрудников, которые были выставлены на продажу за 750 тыс. долларов на теневом форуме. Другой яркий пример — торговая компания Advanced Auto Parts, ставшая жертвой крупной утечки данных, которые оцениваются на теневом рынке в 1,5 млн долларов.

Цена увеличивается, когда появляются дополнительные сведения о человеке, например паспортные данные, данные водительского удостоверения или страхового полиса, информация о финансовых счетах и банковских картах, биометрические данные и др. Предложения о продаже данных среднего ценового диапазона (до 10 000 долларов) чаще встречаются среди ИТ-компаний, финансовых организаций, государственных учреждений, медицинских организаций и промышленных компаний.

Наиболее дорогие объявления (свыше 50 000 долларов за 2 ТБ данных) относились к крупным финансовым организациям, торговым компаниям и ИТ-компаниям.

Правда, в половине объявлений о продаже (53%) не указана цена, она является договорной: обсуждается между продавцом и потенциальным покупателем. Поэтому на деле доля более дорогих объявлений может быть больше.

💼 В июне было выставлено объявление о продаже учетных данных более чем 400 компаний, включая доступ в инфраструктуру через такие сервисы и платформы, как Jira, Bamboo, Bitbucket, GitHub, GitLab, SSH, SFTP, Zabbix, AWS S3, AWS EC2, SVN и Terraform. Такое объявление представляет особую ценность, поэтому точная цена в объявлении не указана и является договорной. По заявлению злоумышленника, автора объявления, данные были получены в результате компрометации компании-подрядчика.

Основные отрасли-жертвы

Наибольшее число утечек конфиденциальной информации за рассматриваемый период пришлось на госучреждения (13%), ИТ-компании (12%) и компании промышленной отрасли (11%).

💼 Крупный инцидент произошел с французским правительственным агентством France Travail, ответственным за регистрацию безработных: произошла утечка персональных данных 43 млн граждан (что составляет 60% от всего населения), которые в течение последних 20 лет регистрировались в качестве нетрудоустроенных. Данные, которые были раскрыты в результате этой атаки, включают имя, дату рождения, место рождения, номер социального страхования (NIR), France Travail identifier, адрес электронной почты, почтовый адрес, номер телеф��на.

Один из факторов, который повлиял на рост утечек из ИТ-компаний, — множественные заражения вредоносным ПО открытых репозиториев, которые активно используют разработчики: исследователи Apiiro раскрыли новую волну скоординированной кампании, в результате которой на GitHub было загружено более 100 000 вредоносных репозиториев.

Позднее в мае исследователи компании Check Point обнаружили тысячи вредоносных расширений в магазине плагинов для бесплатного редактора исходного кода VS Code.

Поскольку ИТ-компании являются подрядчиками организаций многих отраслей, то проникновение в их инфраструктуру влечет за собой цепную реакцию успешных атак и на другие организации (а это недопустимое событие для ИТ-компаний).

💼 В первой половине 2024 года жертвой фишинговой атаки стала российская компания по ИБ SoftMall, в результате чего были раскрыты отчеты аудита информационной безопасности нескольких крупных контрагентов.

Утечки из промышленных организаций, которые замыкают топ-3, также могут привести к компрометации их клиентов.

💼 В результате кибератаки из корпоративной сети Schneider Electric были похищены терабайты конфиденциальных данных. Согласно имеющейся информации, в числе клиентов подвергшегося атаке подразделения Schneider Electric значатся такие крупные международные корпорации, как Clorox, DHL, Hilton, PepsiCo и Walmart.

Доля утечек данных из медицинских учреждений, занимавших первое место на протяжении всего 2023 года, заметно снизилась в начале 2024 года — на 11 п. п. по сравнению со второй половиной 2023 года. Утечки из медицинских организаций отличаются как большим объемом по количеству строк, так и разнообразием утекших данных.

💼 Sav-Rx — медицинская компания, базирующаяся во Фримонте (штат Небраска), в первом полугодии 2024 года сообщила о серьезной утечке данных, затронувшей более 2,8 миллиона человек.

Финансовые организации закрывают топ-5 отраслей по количеству утечек информации. Здесь доля инцидентов, закончившихся утечкой данных, наиболее высока: четыре из пяти успешных кибератак привели к утечке. Эта тенденция объяснима: простые в реализации атак программы-вымогатели позволяют злоумышленникам украсть данные клиентов — а продать их может быть легче, чем совершить успешную атаку на финансовые организации с целью кражи денег.

💼 Во втором квартале 2024 года злоумышленники украли реквизиты банковских счетов 30 миллионов человек, 6 миллионов номеров счетов и балансов, а также 28 миллионов номеров кредитных карт клиентов банка Santander в Испании, Чили и Уругвае.

Объявление на теневом форуме с предложением о продаже базы данных Santander
Объявление на теневом форуме с предложением о продаже базы данных Santander

Наконец, утечки онлайн-магазинов: они замыкают отраслевой рейтинг компаний-жертв и связаны со сливом данных покупателей. Кстати, чаще всего на теневых форумах предлагались базы данных компаний именно из сферы торговли и электронной коммерции, что составляет одну пятую долю от всех объявлений (21%).

💼 В марте этого года жертвой утечки данных стала платформа Pandabuy, на которой продают товары из Китая. В результате утечки были раскрыты более 1,3 млн действующих уникальных адресов эл. почты, что подтвердил создатель сервиса Have I Been Pwned? (HIBP), а также имена, фамилии, телефонные номера, IP-адреса, даты заказов, домашние адреса и другие сведения.

Позднее стало известно, что компания Pandabuy заплатила киберпреступникам выкуп за нераспространение данных, но злоумышленники на этом не остановились и продолжили заниматься вымогательством.

Объявление на теневом форуме с предложением о продаже данных, украденных с платформы электронной коммерции Pandabuy
Объявление на теневом форуме с предложением о продаже данных, украденных с платформы электронной коммерции Pandabuy

Чаще всего на теневых форумах размещаются данные, похищенные из российских ритейл-компаний, на их долю приходится 14% всех предложений баз данных по торговой отрасли.

💼 В конце июня жертвой утечки информации дважды стал интернет-магазин сети супермаркетов «Магнолия». В обоих случаях хакеры получили доступ к дампам баз данных, которые в общей сумме содержат личные данные 253 тыс. клиентов, включая ФИО, адреса доставки, номера телефонов, электронные адреса, состав заказов, хешированные пароли и купоны на скидки клиентов «Магнолии».

Объявление на теневом форуме с предложением о продаже данных, украденных из интернет-магазина сети супермаркетов «Магнолия»
Объявление на теневом форуме с предложением о продаже данных, украденных из интернет-магазина сети супермаркетов «Магнолия»

Российские ритейлеры — популярная цель злоумышленников: по данным нашего исследования за 2023 год, российские онлайн-магазины и маркетплейсы вошли в топ-3 по количеству сообщений о краже данных.

Заключение

С увеличением объема информации, количества пользователей и способов их взаимодействия, отделам ИТ и ИБ становится все труднее следить за безопасностью данных. В исследовании агентства Immuta треть опрошенных респондентов говорит, что в 2024 году управление данными и их безопасность стали важнее, чем внедрение ИИ в бизнес-процессы. А эксперты JupiterOne утверждают, что в 2023 году базы данных составили 39% от всех защищаемых ресурсов компаний, что почти вдвое больше, чем доля защищаемых устройств.

Полную версию первого исследования Positive Technologies, посвященного анализу утечек данных в России и мире и включающего также рекомендации по защите, можно прочитать на сайте компании.

Анна Голушко

Старший аналитик направления аналитических исследований Positive Technologies