Оптовые рынки киберпреступников: как инвестиция в $10 может принести миллионы

Исследователи изучили почти 700 инцидентов с программами-вымогателями на оптовых рынках доступа (Wholesale Access Markets, WAM) — платформах, где люди продают доступ к скомпрометированным конечным точкам, доступ по различным удаленным протоколам, таким как RDP, и т. д.

Из 3612 атак в 2021 году, расследованных аналитиками охранной фирмы CyberSixgill , 686 атак были связаны с доступом к системе, зарегистрированной в домене организации, который продавался на WAM в течение 180 дней до атаки. 85 атак были связаны с доступом к внутренней машине, которая была скомпрометирована в течение 30 дней после атаки.

Исследователи CyberSixgill предупредили, что их данные слишком запутанные, поэтому трудно доказать причинно-следственную связь. Однако, их предварительные выводы показывают, что оптовые рынки доступа являются популярным способом, который вымогатели используют для получения доступа к сети жертвы.

По словам экспертов, пока покупатели доступа безнаказанно получают огромную прибыль, эти рынки будут продолжать вносить существенный вклад в экономику киберпреступности.

CyberSixgill сравнил WAM с брокерами начального доступа ( Initial Access Brokers, IAB ). IAB продает доступ к компаниям за сотни тысяч долларов, а WAM предлагает более дешевый доступ к определенным скомпрометированным устройствам за $10. Однако, эта небольшая первоначальная инвестиция для атаки в конечном итоге может принести миллионы.

Сравнение между IAB и WAM

Брокеры IAB более подробно описывают жертву, в сравнении с WAM. Брокеры пишут, как был получен доступ, что этот доступ предлагает киберпреступнику и многое другое.

Описание скомпрометированных конечных точек на WAM

Продавцы IAB пользуются большим доверием и имеют хорошую репутацию, которую они пытаются поддерживать, в то время как WAM фактически являются «барахолками». «Цены низкие, запасы огромные, а качество не гарантировано», — говорят исследователи о WAM.

Несмотря на то, что рынки WAM являются основным инструментом вымогателей, большинство киберпреступников на рынках – неопытные хакеры. Эксперты предполагают, что большинство взломов, начавшихся на WAM, представляют из себя меньшее число действий и менее изощренные атаки.