Данные на продажу: жизненный цикл утечки в даркнете
Практически ежедневно в новостных лентах появляются свежие сообщения об утечках данных. Компании тратят миллионы на информационную безопасность, нанимают лучших специалистов, проводят регулярные аудиты, но количество подобных инцидентов только увеличивается.
За 2024 год Роскомнадзор зафиксировал 135 случаев утечек баз данных, содержащих более 710 миллионов записей. Но что происходит с данными после того, как хакерам удалось их похитить? Куда они попадают? Кто и как их покупает?
В статье Константина Ларина, руководителя направления «Киберразведка» компании «Бастион», погрузимся в малоизвестную для обычных пользователей и даже многих ИБ-специалистов область — жизненный цикл украденных данных после успешного взлома. Разберем этот вопрос на примере гипотетической компании ООО «Нас никогда не взломают».
Итак, представим ситуацию: база данных клиентов компании оказалась в руках злоумышленников. Что дальше?
Неважно, как именно случилась утечка. Хакеры используют множество техник, начиная с простого фишинга и заканчивая атаками на цепочку поставок через GitHub, PyPI или даже S3-бакеты AWS. Нас интересуют последствия — база клиентов попала в руки злоумышленников.
С момента взлома ООО «Нас никогда не взломают» до момента появления данных компании в продаже может пройти как несколько дней, так и несколько лет, в зависимости от целей хакеров. Например, данные клиентов магазина одежды Сивера появились в сети на второй или третий день с момента взлома. А вот группировка Belsen Group выложила в свободный доступ учетные данные 15 тысяч брандмауэров Fortigate только спустя несколько лет с момента их получения. Все это время хакеры самостоятельно использовали полученную информацию и лишь затем выложили ее в даркнет.
Под «даркнетом» мы подразумеваем не только теневые площадки в целом (сайты и форумы), но и некоторые закрытые ресурсы в обычном интернете, каналы в Telegram и не только. В сфере торговли украденными данными также набирает популярность Discord. Так, специалистами «Бастион» на конец 2024 года было найдено порядка 2,5 тысяч серверов, которые на регулярной основе выкладывают утечки. Это именно те ресурсы, на которых всплывут данные клиентов ООО «Нас никогда не взломают» в первую очередь. Как находят эти площадки? Чаще всего — через сарафанное радио. Кроме того, эти ресурсы и отдельные злоумышленники нередко покупают рекламу для привлечения новых пользователей.
Кто продает данные
Хакеров или продавцов, которые пользуются теневыми площадками, можно условно распределить по видам деятельности и мотивации. Большинство из них просто хотят выгодно продать данные и доступ к инфраструктуре, однако встречаются и хактивисты, которые преследуют собственные цели, обусловленные моральными, политическими и иными представлениями.
Кто покупает
О покупателях утечек мы знаем меньше, чем о продавцах. Порой в их роли выступают известные хакерские группировки, но чаще утекшие базы данных приобретают лица, которые не выходят в публичное поле. Однако, аналитика позволяет выделить несколько категорий покупателей, которых могут заинтересовать данные ООО «Нас никогда не взломают»:
- Конкуренты, которые решили вести нечестную игру.
- Продавцы-перекупщики с других теневых площадок.
- Хакеры и мошенники, желающие атаковать компанию и ее клиентов, например при помощи адресных фишинговых рассылок.
Как продают
Вероятно, что когда база данных клиентов ООО «Нас никогда не взломают» окажется в продаже на одном из известных хакерских форумов, продавец предложит несколько вариантов услуг:
- Покупку полной копии базы — она может быть продана эксклюзивно как в одни руки, так и нескольким желающим, в зависимости от обстоятельств.
- Платный запрос к БД — зачастую вместо покупки всей базы продают результаты выдачи по отдельным запросам, которые указывает покупатель.
- Доступ к инфраструктуре компании — если компания не провела должного расследования, то продавец может сохранять доступ к ее IT-инфраструктуре и за плату поделиться им с другими хакерами.
Цены на украденные данные формируются в зависимости от эксклюзивности и качества данных, области, в которой работает компания, и множества других показателей, зависящих от сферы деятельности организации. Стоимость особенно редких утечек может определяться в формате аукциона.
Представим, что в базу данных ООО «Нас никогда не взломают» входят десятки тысяч адресов электронных почт и имена клиентов, но в ней нет паролей, или персональных данных, которые бы облегчили фишинг. Тогда расценки на эту утечку могут быть сравнительно низкими: около $150 за всю утечку и $20 за отдельный запрос к базе данных. Однако, появление объявления о продаже базы данных еще не означает, что клиенты компании в опасности.
Мошенники часто выдают за утечки так называемые компиляты — архивы, сформированные из общедоступных старых утечек или открытых данных, собранных в интернете. Проверить подлинность базы можно по сэмплу — образцу данных, предоставляемом продавцом. Потенциальные жертвы утечек часто поручают эту задачу подразделениям ИБ-компаний, которые занимаются мониторингом даркнета.
Что же касается потенциальных покупателей утечки, то они ориентируются еще и на репутацию продавца, а также авторитет так называемого гаранта.
Даркмаркеты крайне щепетильно относятся к вопросам репутации, поэтому вводят различные механизмы, повышающие доверие пользователей и потенциальных клиентов к продавцам. Как правило, у их аккаунтов есть открытая статистика по числу совершенных сделок, рейтинг на основе голосов пользователей, отзывы. Все как на легальных маркетплейсах.
Гарантом, как правило, выступает администрация площадки, на которой публикуется информация об утечке.
- Покупатель отправляет деньги гаранту — средства замораживаются на счету гаранта.
- Продавец передает базу данных — выполняет свои обязательства.
- После подтверждения получения товара покупателем гарант переводит деньги продавцу.
Если возникают споры, гарант может провести арбитраж и решить, кому достанутся деньги. Это снижает риск того, что одна из сторон просто исчезнет после получения оплаты или товара, нарушив условия сделки.
Утечки оплачиваются криптовалютами, однако, контроль над операциями с ними со стороны крупных игроков постепенно усиливается. Известные криптовалютные биржи и обменники планомерно усиливают комплаенс, они научились отслеживать средства, задействованные в незаконных операциях по истории транзакций в блокчейне. Поэтому в даркнете все чаще используют Monero и Zcash, эти криптовалюты в силу особенностей своего протокола обеспечивают повышенную анонимность транзакций.
Что же касается передачи данных после совершения сделки, то для этого как правило используют анонимные файлообменники, такие как Mega или GoFile.
Случай с ООО «Нас никогда не взломают» — хоть и гипотетический, но показательный пример того, как быстро конфиденциальная информация может превратиться в товар в руках злоумышленников. Утечка данных — это не конец истории, а только ее начало. После инцидента украденная информация начинает свое путешествие по теневым площадкам, где действуют свои законы и правила.
Этот преступный мир демонстрирует высокий уровень организации: репутационные механизмы, гаранты безопасности сделок, система рейтингов и отзывов. Все это указывает на зрелость и отлаженность процессов нелегальной торговли информацией.
Осведомленность об этих механизмах критически важна для современных бизнес-структур. Мониторинг даркнета сегодня — не экзотическая услуга, а необходимый инструмент минимизации репутационных и финансовых рисков. Компании должны не только предотвращать утечки, но и отслеживать появление своих данных на теневых площадках для оперативного реагирования.
В мире, где информация стала главной ценностью, понимание жизненного цикла украденных данных — ключевой элемент эффективной стратегии кибербезопасности. Потому что если ваша компания называется «Нас никогда не взломают», это не означает, что так оно и будет.
