Сайты утечки данных в Dark Web: зачем они нужны и что из себя представляют

Тёмная сеть, также называемая «Dark Web» (дарквеб) или «DarkNet» (даркнет) — это область Интернета, которая не индексируется поверхностными поисковыми системами, такими как Google, Яндекс, Bing и прочими. В отличие от «Deep Web», который просто не индексируется поисковыми системами, тёмные веб-сайты скрываются намеренно.

Доступ в дарквеб обычно осуществляется через анонимную зашифрованную сеть Tor (она же «Onion Routing»), практически исключающую возможности по отслеживанию, что и вызывает к ней нездоровый преступный интерес. Чаще всего тёмная сеть используется для незаконных операции по покупке и продаже всевозможного рода товаров или услуг, которые невозможно получить через обычный Интернет.

Сайты утечки в Dark Web — это веб-сайты, используемые группами вымогателей, хакерами и другими злоумышленниками для объявлений о краже данных, их публикации, а также для ведения переговоров с жертвами о денежном выкупе.

Как работают сайты утечки данных в Dark Web?

Сайты утечки в тёмной сети используются злоумышленниками для выполнения зашифрованных бизнес-операций, монетизации программ-вымогателей и прочего рода кибератак. Сайты утечки служат платформой для загрузки, а также обмена конфиденциальной и личной информацией, которую злоумышленники похитили у организаций-жертв.

Некоторые киберпреступники также используют свои сайты утечки для публикации доказательства компрометации, которое часто является образцом данных, украденных во время атаки. Злоумышленники угрожают использовать сайт утечки для размещения полного набора скомпрометированной информации и поделиться ею со СМИ, если организация не заплатит выкуп.

Касательно СМИ стоит упомянуть ещё один момент. Как правило, если ту или иную компанию взломали и пообещали слить её данные, средства массовой информации зачастую узнают об этом чуть ли не самые первые, в связи с чем быстро делают факт взлома и шантажа достоянием общественности.

В результате, сайты утечки предоставляют бандам вымогателей дополнительные рычаги воздействия на своих жертв. Называя организации, которые подверглись воздействию, и распространяя публичные угрозы, хакеры усиливают давление и повышают вероятность быстрого получения денег.

Даже если условная организация создала резервные копии своих данных и имеет возможность восстановиться после атаки, угроза раскрытия конфиденциальной информации может привести к тому, что жертва всё равно заплатит вымогателям.

Вымогательские банды, которые часто используют сайты утечки для оказания давления на своих жертв, включают, например, LockBit 2.0, Pysa, Avaddon, Hive, Black Matter и Grief. О многих из них мы довольно часто пишем в своих новостях. Однако основная тенденция, наблюдаемая с сайтами утечки в дарквебе, — это приливы и отливы вымогательских банд. Активность конкретной группы хакеров, как правило, непредсказуема, и за безудержной активностью часто следует затишье. Этому могут быть различные объяснения, включая давление со стороны правоохранительных органов, проблемы в работе, острую конкуренцию или ребрендинг.

Как компании обычно узнают о том, что их конфиденциальную информацию слили или собираются слить на сайт утечки данных? И что в таком случае делать?

Когда злоумышленники похищают данные, первым делом они связываются именно с представителями взломанной организации, предварительно создав отдельную страницу на своём сайте утечки, где и находятся доказательства компрометации. Эта страница может быть доступна как жертве лично, так и всем посетителям тёмной сети. Всё зависит от подхода вымогателей к ведению дел.

Если факт взлома был зафиксирован, но хакеры по какой-то причине своевременно не связались с целевой организацией, можно использовать специальные программные инструменты для сканирования дарквеба на наличие потенциально украденной информации. А если в целевой организации отсутствуют необходимые специалисты или программное обеспечение, наилучшим решением будет обратиться в компании, которые специализируются на вопросах кибербезопасности. Они смогут гораздо быстрее отследить утечку и помочь выиграть драгоценное время на обдумывание дальнейших действий.

Если информация об организации-жертве всё-таки попала на сайт утечки, это может привести к юридическим и финансовым последствия, а также ущербу репутации компании и связанные с этим потери бизнеса. Именно поэтому важно действовать быстро и предпринимать конкретные шаги для смягчения ущерба.

Шаг 1. Факт утечки нужно подтвердить

Первым дело необходимо собрать как можно больше информации об утечке, включая источник взлома и тип информации, которая могла быть раскрыта. Эту информацию нужно тщательно перепроверить, чтобы подтвердить, не блефуют ли хакеры. Существует также несколько онлайн-инструментов и сервисов, которые специализируются на даркнет-мониторинге. Так, если сразу тщательно всё проверить, компанию можно избавить от множества ненужных действий, а руководящих сотрудников от лишних переживаний.

Шаг 2. Проинформировать необходимые отделы компании и внешние инстанции

Если утечка самая что ни на есть настоящая, следующим шагом будет уведомление команды IT-безопасности и юридического отдела организации. Пока команда безопасности будет работать над расследованием нарушения и укреплять защиту внутренних систем для предотвращения дальнейшего раскрытия данных, юридический отдел оценит последствия нарушения и при необходимости предпримет соответствующие правовые действия.

Правоохранительные органы тоже необходимо своевременно уведомить, чтобы оперативно инициировать внешнее расследование с целью выявления виновных. Кроме того, команде юристов организации может потребоваться соблюдать требования законодательства и нормативных требований, в связи с чем сотрудничество с правоохранителями и прочими органами должно упростить работу.

Шаг 3. Укрепить протоколы и системы безопасности

По мере того, как IT-команда начинает понимать природу утечки данных, крайне важно пересмотреть и укрепить протоколы и системы безопасности организации, чтобы предотвратить подобные инциденты в будущем. Члены IT-команды должны тщательно проанализировать существующие защитные меры и определить области, которые требуют улучшения или модификации.

Внедрение дополнительных меры безопасности, включая многофакторную аутентификацию, ограничение протоколов удалённого доступа и принудительное шифрование данных и трафика, сильно затруднит доступ третьих лиц к внутренним системам, что уже можно будет считать небольшой победой. Также важно чётко обозначить политику безопасности всем сотрудникам, снабдив их ценными советами и рекомендациями для повышения бдительности и предотвращения потенциальных нарушений. Работа с людьми играет наиболее важную роль, потому что ни одна система защиты не обеспечит должной защиты, если сотрудник сам, пусть и по незнанию, откроет хакерам все двери для эффективного взлома.

Шаг 4. Мониторинг тёмной сети

Как только с устранением внутренних последствий киберугрозы будет покончено, а все системы организации вернутся в рабочее состояние, дарквеб необходимо и дальше отслеживать на предмет утечек. К этому процессу, опять же, можно привлечь стороннюю компанию, специализирующуюся на кибербезопасности.

Способность организации быстро и эффективно реагировать на новости о найденных в даркнете утечках может смягчить влияние этих утечек на организацию, защитив её репутацию и конфиденциальные данные.

Что можно сделать, чтобы предотвратить вторжение вымогателей и смягчить последствия, если оно всё же произошло?

Одними из самых распространённых угроз, которые могут привести к утечке данных, включают атаки социальной инженерии, ненадлежащую гигиену паролей, а также уязвимости программного обеспечения.

Последствия вымогательской атаки может смягчить наличие эффективной системы резервного копирования / восстановления данных, а также регулярная проверка актуальности программного обеспечения. Однако ещё лучше, если никакой атаки не допускать в принципе.

Для этого в организации необходимо превентивно внедрить лучшие из имеющихся практик кибербезопасности. К ним можно отнести найм грамотного CISO, применение высокоэффективных антивирусных и EDR-решений, использование концепции нулевого доверия и обеспечение надлежащей подготовки всего персонала компании.