Tanıtım

Bugün haberlerde, bir hacker saldırısının bir kuruluşa verdiği mali zarar veya bazı kaynakların yüzbinlerce kullanıcı hesabının sızdırılması hakkında bilgi edinebilirsiniz. Ancak böyle bir saldırıyı gerçekleştirmenin ne kadara mal olduğu ya da uygulamanın ne kadar zor olduğu konusunda raporlar bulmak mümkün olmayacak. Ancak sonuçta, siber suçluların çalışmaları da dahil olmak üzere iş, kar elde etmeyi amaçlar ve maliyetler karşılaştırılabilir veya olası geliri aşarsa, bilgisayar korsanı basitçe başka, daha karlı bir göreve geçer.

Güncel siber tehditlerle ilgili son araştırmamızda, önemli siber olayların sayısında bir artış olduğunu fark ettik: 2018’in ilk çeyreğinde, 2017’nin ilk çeyreğine göre %32 daha fazlaydı 1 . Aynı zamanda, kötü amaçlı yazılım kullanan saldırılarda, çoğu durumda, verileri çalmak ve gizli kripto para madenciliği yapmak için programlar kullanıldı. Aynı zamanda, internette şu veya bu Truva atının kodunun halka açık hale getirildiği konusunda giderek daha fazla bilgi ortaya çıkıyor. Saldırı sayısında bu kadar önemli bir artışa bağlı olmamız, hazır kötü amaçlı yazılım elde etme olasılığı ve daha sonra kullanılmasıdır. Bu tür bir yazılımın maliyetini, satın alınmasının karmaşıklığını tahmin etmek ve piyasadaki mevcut arz ve talebi analiz etmek için bu çalışmayı yaptık.

Suçlu siber hizmetler pazarını ayrıntılı olarak analiz ettik ve bir siber suçlunun çok çeşitli uzmanlık bilgisine ihtiyacı olup olmadığını veya bir saldırı uygulamak için gölge pazarının temsilcilerine – web sitesi ve sunucu korsanlarına başvurmak yeterli olup olmadığını değerlendirmeye çalıştık, kötü amaçlı yazılım geliştiricileri ve dağıtıcıları, botnet sahipleri ve diğerleri. Analiz sırasında, büyük şirketlerin sunucularını uzaktan yönetmek için sistemlere veya web kabuklarına erişim bilgilerinin satışa sunulduğu bir durumla tekrar tekrar karşılaştık. Aldığımız bilgileri, güvenliği ihlal edilmiş kuruluşların temsilcilerine derhal ileterek, koruyucu önlemler almaları ve bir soruşturma yürütmeleri gerektiği konusunda uyardık.

Araştırma nesnesi olarak, toplam kayıtlı kullanıcı sayısı üç milyondan fazla olan, isimlerini açıklamadığımız, İngilizce ve Rusça konuşulan en popüler 25 gölgeli ticaret platformunu seçtik. Toplamda 10.000’den fazla reklam analiz edildi, ancak gölge piyasada diğerlerinde olduğu kadar çok olduğu açık olan hileli teklifleri hesaba katmadık.

Bu tür sitelerde satılan çeşitli araç ve hizmetlerin minimum ve ortalama maliyetini hesapladık, arz ve talep oranını, verilen hizmetlerin eksiksizliğini ve tam teşekküllü bir siber saldırı için yeterliliğini değerlendirdik.

Özet

Modern siber saldırılar, çoğunlukla kendilerine ait olmayan, üçüncü şahıslardan, geliştirmelerden ve sunuculardan satın alınıp kiralanması üzerine kuruludur. Bu, yalnızca siber suça giriş eşiğini düşürmekle ve saldırıların yürütülmesini basitleştirmekle kalmaz, aynı zamanda hedefli saldırıların doğru bir şekilde ilişkilendirilmesini önemli ölçüde karmaşıklaştırır veya imkansız hale getirir.

Aşağıdaki şema, yaygın saldırı türlerini göstermektedir ve ayrıca saldırıyı düzenleyenin para için gerekli tüm araçları ve araçları satın alması koşuluyla, minimum maliyetlerini ABD doları cinsinden hesaplamaktadır. Bu nedenle, örneğin, bir kuruluşa yönelik hedefli bir saldırının maliyeti, karmaşıklığa bağlı olarak, bir bilgisayar korsanlığı uzmanı işe almak, altyapı kiralamak ve uygun araçları satın almak dahil olmak üzere 4.500 dolardan olabilir. Bir web uygulamasının tam kontrolünü ele geçirmek için bir siteyi hacklemek 150$ kadar düşük bir maliyete sahipken, 1.000$’a kadar iş tahminleri olan sitelerin hedefli hacklenmesini talep eden reklamlar bulduk.

Çalışma, kripto madencilerinin, korsan araçlarının, botnet oluşturmak için kötü amaçlı yazılımların, RAT ve fidye yazılımı Truva atlarının siber hizmetlerin gölge pazarında yaygın olarak dağıtıldığını, ana talebin ise kötü amaçlı yazılım geliştirme ve dağıtma ile ilgili hizmetler olduğunu gösterdi. Piyasada, birlikte herhangi bir saldırıyı organize etmek için kullanılabilecek 50’den fazla farklı mal ve hizmet kategorisi bulunmaktadır.

1. Bir iş olarak siber suç

FireCompas’a göre, İnternet sayfalarının sadece %4’ü arama motorları tarafından indeksleniyor 6 . Özel forumlar, kapalı veri tabanları (tıbbi, araştırma, finans) ve arama motorlarının göremediği diğer kaynaklar topluca derin web veya derin İnternet olarak adlandırılır. Gizli ve diğer yasal verilere sahip kaynaklara ek olarak, toplu olarak karanlık ağ olarak adlandırılan derin ağda, yasa dışı nitelikte özel platformlar ve forumlar bulunur. Ve bu tür kaynaklar genellikle katılımcıları tarafından sunulan yasa dışı ürün ve hizmetlerle ticaret yaptıklarından, bu kaynakların toplamına da gölge piyasa denir. Araştırmamızın bir parçası olarak hacker forumlarına odaklandık.

Aşağıda, bir siber saldırının planlanması ve uygulanması sürecinde gölge pazarın yerinin şematik bir temsili bulunmaktadır.

Şekil 1. Gölge piyasası ve siber suç dünyasındaki yeri
Şekil 1. Gölge piyasası ve siber suç dünyasındaki yeri

2. Ürün satmak

Gölge pazardaki ürünlerin büyük çoğunluğu aşağıdaki kategorilere girer:

  • kötü amaçlı yazılım – fidye yazılımı, madenciler vb.;
  • hem bilinen hem de sıfırıncı gün güvenlik açıkları için istismarlar;
  • veriler – kişisel, muhasebe, ödeme vb.;
  • erişimler – web kabukları, sitelerden veya sunuculardan gelen şifreler.

Her ürün kategorisi aşağıda daha ayrıntılı olarak tartışılacaktır. Belirli bir ürün için arz ve talebin gölge piyasada nasıl sunulduğu ve ayrıca hangi fiyattan satın alınabileceği gösterilecektir.

2.1. kötü amaçlı yazılım

Günümüzde, kötü amaçlı yazılımlar, otomasyon, yürütme hızı ve saldırının görünmezliği ile ilgili görevlerin çözülmesine izin verdiği için, herhangi bir siber saldırının pratik olarak imkansız olduğu bir unsur haline geldi. Amaca bağlı olarak, kötü amaçlı yazılım birkaç türe ayrılır:

Bir programcı, kötü amaçlı yazılım geliştirdiği için 1,5 yıl hapis cezasına çarptırıldı 7

  • kripto madencileri,
  • Veri çalmak için Truva atları (stealer),
  • bilgisayar korsanı araçları,
  • DDoS için kötü amaçlı yazılım,
  • fidye yazılımı truva atları,
  • FARE, ? indirici truva atları (loader, dropper),
  • botnet oluşturmak için kötü amaçlı yazılım,
  • ATM’ler için VPO.

Aşağıdaki şema, belirli bir kötü amaçlı yazılımın satışına yönelik reklamların karanlık ağda ne kadar yaygın olduğunu göstermektedir. Unutulmamalıdır ki çalışma çerçevesinde hazır bir Truva atının satışı veya kötü amaçlı yazılım geliştirecek kişilerin aranması ile ilgili duyurularla birebir karşılaştık ancak hazır bir Truva atı satın alma niyetiyle ilgili herhangi bir duyuru yapılmadı. belirli Truva atı. Bu, günümüzde çok çeşitli kötü amaçlı yazılım tekliflerinin talebi neredeyse tamamen karşıladığını ve belirli bir geliştirme gerektiğinde saldırganların bunu kendilerinin yaptığını veya programcılar tuttuğunu gösterebilir. Kötü amaçlı yazılım geliştirme için programcıları ayrı olarak işe almaktan bahsedeceğiz (bkz . Bölüm 3.1.1 ).

Şekil 2. Çeşitli türlerdeki kötü amaçlı yazılımların satışına yönelik reklamların payları
Şekil 2. Çeşitli türlerdeki kötü amaçlı yazılımların satışına yönelik reklamların payları
Şekil 3. HPE'nin ortalama maliyeti, $
Şekil 3. HPE’nin ortalama maliyeti, $

2017 yılında kripto para birimlerinin değerindeki hızlı büyümenin ardından gizli madencilik yazılımları yaygınlaştı. Satışa sunulan kötü amaçlı yazılımlar arasında bugünkü payları %20. Aynı zamanda 2018 yılının ilk çeyreğinde bu tür kötü amaçlı yazılımların kullanıldığı siber saldırıların payı %23 8 olmuştur . Kripto para projelerine artan ilgi, özellikle kullanıcıların kripto cüzdanlarından para çalmayı amaçlayan, veri hırsızlığı (hırsızlar, casus yazılımlar) için daha geniş bir kötü amaçlı yazılım dağıtımına yol açtı. Kötü amaçlı yazılım satışına yönelik toplam teklif hacminde %11’lik bir paya sahip olan hırsızlar, 2018’in ilk çeyreğinde kaydedilen siber olay sayısı açısından (toplam sayılarının %30’luk pay ile) ilk sırada yer alıyor.

Satış tekliflerinin yüzde on dokuzu, web sitelerine, toplu postalara ve ayrıca adres ve şifre oluşturuculara, yürütülebilir dosyaların paketleyicilerine ve şifreleyicilerine saldırılar gerçekleştirmek için tasarlanmış yazılımları dahil ettiğimiz hacker araçlarıydı.

Her kategorideki enstrümanların ortalama fiyatları yukarıdaki grafikte gösterilmektedir. En pahalısı ATM’ler için kötü amaçlı yazılımdı. Bu şaşırtıcı değil, çünkü onun yardımıyla suçlular kesinlikle önemli bir kazanç elde edebilirler.

2.1.1. Truva atları verileri çalmak için

Hırsızlar, saldırganların aşağıdaki görevleri gerçekleştirmesine izin verir:

  • panodan şifreleri çalmak,
  • tuş vuruşlarını engelleme ve bu tuşlara basıldığı pencerenin başlığını kaydetme;
  • antivirüsleri atlayın veya devre dışı bırakın;
  • dosyaları saldırganın postasına göndermek.
Şekil 6. Autolog keylogger'ı satma
Şekil 6. Autolog keylogger’ı satma

Posta kutuları, sosyal ağlar ve kişisel bilgileri içeren diğer kaynaklar için kimlik bilgileri söz konusu olduğunda, yaklaşık 10 ABD doları tutarında bir hırsızla çalınan veriler birkaç dolardan birkaç yüz dolara mal olabilir. Ve kötü amaçlı yazılımların yardımıyla kripto cüzdanlarından ödeme sistemleri veya şifre kullanıcılarının verilerini çalmak mümkünse, potansiyel gelir saldırının maliyetini binlerce kat aşacaktır.

2.1.2. Botnet için RAT ve kötü amaçlı yazılım

15 bin para cezası ile 1 yıl hapis cezası mı? kimlik bilgilerini çalmak için botnet oluşturmaktan suçlu bulunan programcı 12

Bilgisayar korsanları yalnızca önceden belirlenmiş bazı verileri çalmak değil, sistemde uzun süreli gizli varlık ve uzaktan komut yürütme olasılığı olan bir cihaza erişim sağlamak istediklerinde, uzaktan erişim trojanları veya uzaktan erişim trojanlarını kullanırlar. (FARE). Bu tür kötü amaçlı yazılımlar genellikle saldırgana aşağıdaki seçenekleri sunar:

  • kullanıcı eylemlerini izleme;
  • dosyaları çalıştırmak ve komutları yürütmek;
  • ekran görüntülerini kaydetme;
  • web kamerasını ve mikrofonu açma;
  • yerel ağı taramak;
  • internetten dosya indirme.

Gölge piyasada, RAT’ler ortalama 490 dolara mal oluyor ve çoğunlukla hedefli saldırılar ve bireysel düğümlere bulaşmak için kullanılıyor. En ünlü RAT’lar DarkComet, CyberGate, ProRAT, Turkojan, Back Orifice, Cerberus Rat, Spy-Net’tir. En popüler DarkComet, 2012’de Suriye hükümetinin onu muhalefetin bilgisayarlarını gözetlemek için kullandığı ve Çin’in Tibet yanlısı STK’ları 9 izlediği ortaya çıkana kadar ücretsiz olarak dağıtıldı . Bundan sonra, DarkComet projesine erişim kapatıldı, ancak temelinde bugün hala saldırganlar tarafından kullanılan çok sayıda derleme oluşturuldu.

Ayrıca TeamViewer, Remote Manipulator System, VNC gibi uzak bir bilgisayarı kontrol etmek için değiştirilmiş yasal programlar temelinde geliştirilmiş bütün bir RAT ailesi vardır. Bu tür kötü amaçlı yazılımlara abonelik, ayda yaklaşık 1.000 ABD Doları tutarındadır. Yasal “kökleri” nedeniyle, bu tür kötü amaçlı bir programın virüsten koruma araçları tarafından algılanmadığına, ancak “bağışçıların” aksine gizli modda çalıştığına dikkat edilmelidir. Bu tür yazılımlar genellikle bankalara saldıran bilgisayar korsanlarının cephaneliğinde bulunabilir. Örneğin MoneyTaker grubu , Rus ve ABD bankalarına yönelik saldırıları sırasında UltraVNC 10 ile çalıştı . Gelişmiş bankacılık truva atları Dridex, Neverquest ve Gozi, virüslü kullanıcıların iş istasyonlarını kontrol etmek için hVNC tabanlı modülleri kullanır 11 .

Saldırganlar çok sayıda cihaz üzerinde kontrolü ele geçirmeyi planlıyorlarsa, RAT işlevlerine sahip kötü amaçlı yazılımlara ek olarak, virüslü cihazların yönetimini koordine etmek için tasarlanmış özel bir yazılıma (bir komuta veya kontrol merkezi) ihtiyaçları olacaktır. Tek bir kontrol altındaki virüslü cihazlardan oluşan bir ağa botnet denir.

Şekil 7. Virüs bulaşmış ana bilgisayarların istatistiklerini içeren Botnet komuta merkezi arayüzü
Şekil 7. Virüs bulaşmış ana bilgisayarların istatistiklerini içeren Botnet komuta merkezi arayüzü

Gölge piyasada bir botnet oluşturmak için kötü amaçlı yazılım fiyatları 200 dolardan başlıyor. C&C yazılımı, belirli bir sunucuyla (oluşturucu) çalışacak şekilde yapılandırılmış truva atları oluşturma yazılımı ve truva atı için ek modüller dahil olmak üzere eksiksiz bir set 1.000-1.500 ABD Dolarına mal olabilir. Aynı zamanda, bir botnet yalnızca örneğin DDoS saldırılarını gerçekleştirmek için kullanılıyorsa bir aydan daha kısa sürede kendini amorti eder.

Şekil 8. Bir bankacılık botnetinin satışı
Şekil 8. Bir bankacılık botnetinin satışı

2.1.3. ATM’ler için Truva atları

Siber suçluların hızla zengin olmak için umutlarını bağladıkları bir başka kötü amaçlı yazılım türü de ATM truva atlarıdır. ATM’lere yapılan mantıksal saldırıları 2017’de “GreenDispenser örneğinde ATM’lere yönelik saldırılar: organizasyon ve teknolojiler” 13 çalışmasında ayrıntılı olarak analiz ettik ve 2018’in başlarında bu konu ABD’deki ATM’lere yönelik bir dizi saldırı sırasında alaka düzeyini bir kez daha doğruladı. 14 .

ATM kötü amaçlı yazılımları, 1.500 dolardan başlayan fiyatlarla, kullanıma hazır kötü amaçlı yazılımların en pahalı sınıfıdır. Bu tür programların geliştirilmesi, yalnızca iyi programlama becerileri değil, aynı zamanda çeşitli üreticilerin ATM’lerinin iç yapısı hakkında da bilgi gerektirir.

Şekil 9. ATM dağıtıcısını yönetmek için bir yazılım paketi satmak
Şekil 9. ATM dağıtıcısını yönetmek için bir yazılım paketi satmak

Elbette, kötü amaçlı yazılımın piyasa değeri, kullanımından elde edilen potansiyel kârdan da etkilenir: bir ATM’ye çeşitli değerlerden yaklaşık 8.000 banknot yerleştirilir, bu da yaklaşık 8 milyon rubleye (200.000 $, 120.000 £) eşdeğerdir. Bir kötü amaçlı yazılım, aynı türdeki birçok ATM’ye aynı anda saldırmak için kullanılabilir, bu nedenle bir suç grubunun koordineli eylemleri, iyi para kazanmasını sağlar. Böylece, Avrupa Güvenli İşlemler Birliği’ne (EAST) göre, 2017’de ATM’lere kötü amaçlı yazılım kullanan 192 saldırı gerçekleşti ve bu saldırının resmi zararı 1,52 milyon avroya ulaştı15 . Aynı zamanda, 2016 yılına kıyasla olay sayısı %231, toplam hasar ise %230 arttı.

2.1.4. Fidye Yazılım Truva Atları

Bu tür kötü amaçlı yazılımlar, 2017’de fidye yazılımı Truva Atlarını kullanan yaygın saldırılar nedeniyle bugün belki de en ünlüsü.

Bir IBM araştırmasına göre, ankete katılan ABD şirketlerinin %70 kadarı verilerini kurtarmak için fidye ödedi16 . Rus şirketleri için bu istatistiklerin hesaplanması zordur, ancak yine de, olayları araştırma pratiğimizde, mağdurların ödemeyi tercih ettiği birden fazla vaka da olmuştur. Buna dayanarak, ilk başarılı toplu saldırıdan sonra maliyetlerin birçok kez karşılığını verdiği açıktır. 2017’deki en büyük fidye yazılımı saldırıları WannaCry, NotPeyta, BadRabbit, Locky, Cerber salgınlarıydı ve fidye yazılımı saldırılarından kaynaklanan toplam hasar 1,5 milyar doları aştı.

Bu tür kötü amaçlı yazılımları edinmenin ortalama maliyeti 270 ABD dolarıdır. Yalnızca kripto para biriminde ödenebilen fidye, genellikle fidye yazılımı dağıtımcıları tarafından belirlenir ve 200-500 ABD Doları tutarındadır. Örneğin, WannaCry ve NotPetya truva atları tarafından engellenen verilerin şifresini çözmek için belirlenen fidye 300$ olarak belirlendi.

Günümüzde kötü amaçlı yazılımları ve özellikle fidye yazılımlarını dağıtmanın en gelişmiş yöntemi “hizmet olarak” satış modelidir. Alıcı, yalnızca gerekli başlatma sayısı, çalışma süresi veya oluşturulan dosya sayısı için ödeme yapar.

Şekil 10. Fidye yazılımı Truva Atı kiralama reklamı
Şekil 10. Fidye yazılımı Truva Atı kiralama reklamı

Fidye yazılımı geliştiricileri, gelirlerini artırmak için son zamanlarda bunları sözde bağlı kuruluş programı aracılığıyla dağıtmaya başladılar. Satıcı, kişiselleştirilmiş bir şifreleme dosyası ve virüslü düğümler ve yapılan ödemeler hakkındaki istatistikleri görüntüleyen kişisel hesaba erişim için bir bağlantı gönderir. Alıcının görevi Truva atını yaymaktır. Truva atının bu örneğini kullanan saldırıların kurbanı fidyeyi ödediğinde, satıcı ödemeyi dağıtımcıya payının düşülmesiyle aktarır. Genellikle satıcı, %15-50’sini kendisine ayırır ve dağıtıcı, sırasıyla %50-85’ini alır. Gandcrab, Tantalus, Aleta, Princess, Rapid, Scarab, Sphinx, Lovecraft, Onyonlock ve diğer şifreleyiciler bu şemaya göre dağıtılır. Örneğin,

Şekil 11. Fidye yazılımı satışı için teklifler
Şekil 11. Fidye yazılımı satışı için teklifler

Diyagramdan da görülebileceği gibi, çalışma sırasında, kötü amaçlı yazılım pazarının bu segmentinde en yaygın şekilde temsil edilen ortaklık programıydı. Bu oldukça anlaşılabilir bir durumdur, çünkü saldırganın kötü amaçlı yazılımlarla ilgili teknik yönler ve çalışması için altyapı hakkında endişelenmesi ve ayrıca programlama ve bilgisayar korsanlığı sistemleri becerilerine sahip olması gerekmez. Hizmete erişim için aylık 90 dolardan başlayan masraflarla, cüzdanına ayarlı, gönderilmeye hazır bir Truva atı alır ve bu, fidyenin ilk ödemesinden sonra maliyetleri “telafi edecek”.

2.2. İstismarlar

Açıklardan yararlanma, yazılımdaki güvenlik açıklarını kullanarak bir bilgisayar sistemine saldırıya izin veren bir program veya program kodudur.

Windows web uygulamaları için bir istismar için ortalama 2540 ABD doları maliyet

Yazılım güvenlik açıkları ve bunlara yönelik istismarlar hakkındaki bilgiler, gölge piyasada oldukça değerlidir. Örneğin, sitelerden birinde 2017-2018’de satışa sunulan istismarların ortalama fiyatı 2.540 dolardı. Bunların arasında, istismarların %38’i Windows ailesinin işletim sistemlerindeki veya Windows altında çalışan yazılımlardaki güvenlik açıklarına yönelikti. Açıkların beşte biri (%19), saldırganların yalnızca Windows işletim sistemi kullanıcılarına değil, aynı zamanda Linux, Android ve macOS’a da saldırabileceği Java, Adobe Flash gibi platformlar arası teknolojiler için tasarlanmıştır. macOS işletim sistemleri ailesindeki güvenlik açıklarına yönelik istismarların payı, toplam arzın %5’iydi ve maliyet 2.200 ila 5.300 dolar arasında değişiyordu.

Şekil 12. Ticari istismarlar için pazar yeri
Şekil 12. Ticari istismarlar için pazar yeri

Önerilen istismarların %38’i Windows ve bu işletim sistemi için uygulamalarla ilgilidir.

Şekil 13. Açıklardan yararlanma kategorileri
Şekil 13. Açıklardan yararlanma kategorileri

Gölge piyasasındaki en değerli istismarlar, sıfırıncı gün güvenlik açıklarına yönelik istismarlardır: bu tür güvenlik açıkları için üretici henüz yazılım kusurunu düzelten bir güncelleme yayınlamamıştır. Ancak bir güncellemenin zaten yayınlanmış olmasına rağmen kullanıcıların güncellemeyi yüklemediği durum o kadar yaygındır ki, saldırganlar önceden tanımlanmış ve yayınlanmış güvenlik açıkları için istismarları başarıyla kullanmayı başarır. Aynı zamanda, verilerimize göre, güvenlik açığının ayrıntılarının yayınlanması ile 2017’de ilk istismar girişimleri arasındaki minimum aralık sadece üç saatti17 .

Geçen yılın en çarpıcı örneği, saldırıdan iki ay önce Microsoft web sitesinde güvenlik açığını gideren bir güncellemenin yer almasına rağmen, virüs bulaşan cihaz sayısının 500.000’i geçmesiyle sonuçlanan WannaCry fidye yazılımı saldırısı oldu.

Şekil 14. Bir istismar oluşturucu satmak
Şekil 14. Bir istismar oluşturucu satmak

2.3. Veri

Veriler gölge pazarına farklı şekillerde girer: örneğin, çeşitli hizmetlerden kullanıcılardan kasıtlı olarak kişisel bilgileri ve kimlik bilgilerini gasp eden davetsiz misafirlerden veya bir şirkete yönelik hedefli bir saldırı sırasında müşterilerinin bir veritabanını da elde eden suç çetelerinden.

Gölge piyasada satılan ve satın alınan aşağıdaki veri kategorilerini ayırt edebiliriz:

  • sosyal ağlar, çevrimiçi bankalar gibi çeşitli İnternet hizmetlerinden oturum açma bilgileri ve parolalar;
  • banka kartı verileri;
  • kimlik belgelerinin taranmış kopyaları (pasaportlar, ehliyetler) dahil olmak üzere bireylerin kişisel verileri;
  • şirketlerin mali tabloları, kurucu belgelerin taranmış kopyaları ve diğer gizli belgeler.
Şekil 15. Satılan veri türleri
Şekil 15. Satılan veri türleri

Dark web’deki en yaygın reklamlar, çeşitli hizmetler için kullanıcı kimlik bilgileri satan reklamlardır. İnternette belirli bir hizmete erişmek için şifreli veritabanlarının sızıntıları hakkındaki bilgilerin medyaya ne sıklıkta sızdığı göz önüne alındığında, bu şaşırtıcı değildir. Bu sızıntıların çoğu kamuya açıklanmıyor.

Bir suçlu, uzaktan bankacılık sistemi aracılığıyla banka müşteri hesaplarından para çaldığı için 450 bin ₽ para cezasıyla 6 yıl hapis cezasına çarptırıldı 19

2.3.1. Kullanıcı kimlik bilgileri

Hesaplar arasında ödeme sistemleri, çevrimiçi bankalar ve kripto para borsalarının kullanıcılarının oturum açma bilgileri ve şifreleri, saldırganlar için en büyük değere sahip. Ebay veya Amazon gibi popüler çevrimiçi mağazalardan şifreler de talep görüyor, çünkü banka kartları genellikle kullanıcı hesaplarında zaten bağlantılıdır, bu da suçluların başkasının pahasına alışveriş yapmasına izin verir veya bu ticaret platformlarını para çekmek için kullanırlar. başkası adına mal satın alarak ve yeniden satarak çalınan banka kartları.

Şekil 18. Çeşitli hizmetler için kullanıcı kimlik bilgilerinin satılması
Şekil 18. Çeşitli hizmetler için kullanıcı kimlik bilgilerinin satılması

Çevrimiçi banka kullanıcı verilerinin ortalama maliyeti 22 ABD doları

Çoğu kimlik bilgisi 10 dolara kadar satılır. Sosyal ağlardan ve diğer İnternet hizmetlerinden çalınan hesapların birkaç bin ila birkaç milyon kayıt arasında toplu halde satıldığını unutmayın. Bu tür kitlerin fiyatları onlarca ila yüzlerce dolar arasında değişmektedir.

Çevrimiçi bankalardaki kişisel hesaplara erişim için kimlik bilgileri tek tek satılır; ortalama erişim fiyatı 22$ olan hesapların bakiyeleri birkaç on dolardan onbinlere kadar değişir.

Saldırıya uğramış bir ödeme sistemi kullanıcı hesabında ortalama 5840 ABD doları

Şekil 19. Hacklenen hesaplardaki fon dağılımı, $
Şekil 19. Hacklenen hesaplardaki fon dağılımı, $

2.3.2.Banka kartı verileri

Gölge piyasada satılan diğer bir veri kategorisi ise banka kartı verileridir. Aşağıdaki şekillerde para almak için kullanılırlar:

  • internette mal alıp satmak;
  • ödeme sistemleri aracılığıyla para çekme;
  • ATM’den nakit çekerken kullanılabilecek çift banka kartları yapmak.
Şekil 20. Banka kartı verilerinin satışı için platform
Şekil 20. Banka kartı verilerinin satışı için platform

Bir banka kartının 9 $ veri maliyeti

İlk iki durumda, saldırgan, kartı veren bankanın sahibine bir SMS mesajıyla gönderdiği bir onay koduna ihtiyaç duyabilir. Bu sorun, belirli bir cep telefonu numarasına aramaların ve SMS mesajlarının ayrıntılarını sağlayan gölge servis sağlayıcıların yardımıyla da çözülebilir. Ödeme yapmak için tek seferlik bir kod içeren bir SMS metni 250 $ karşılığında hemen alınabilir.

Şekil 21. Çağrı detaylandırma ve SMS durdurma hizmetleri
Şekil 21. Çağrı detaylandırma ve SMS durdurma hizmetleri

Hesapta birkaç yüz ila birkaç bin dolar bakiyesi olan bir banka kartının verileri ortalama 9 dolara satılıyor.

2.3.3 Kişisel ve gizli belgelerin taranmış kopyaları

Gölge piyasada satın alınabilecek veya satılabilecek başka bir veri kategorisi, aşağıdakiler de dahil olmak üzere çeşitli belgelerin taranmış kopyalarıdır:

  • kişisel verileri içeren kimlik belgeleri – pasaportlar, ehliyetler, TIN, SNILS, vb.;
  • vatandaşların kredi geçmişine ilişkin raporlar da dahil olmak üzere mali belgeler;
  • ticari şirketlerin dahili belgelerinin taranmış kopyaları.

Pasaportun taranmış bir kopyasının ortalama 2 ABD doları maliyeti

Şekil 22. Satılan gizli belge türleri
Şekil 22. Satılan gizli belge türleri
Şekil 23. Pasaportların taranmış kopyalarının satışı
Şekil 23. Pasaportların taranmış kopyalarının satışı

Pasaport verileri, saldırganlar tarafından çeşitli İnternet hizmetlerine kaydolmak için kullanılır. Örneğin, Yandex.Money sisteminde, “Adlandırılmış” ile başlayan bir cüzdan durumuyla sistemin diğer kullanıcılarına para aktarabilirsiniz. Bu durumu elde etmek için pasaport verileri, telefon numarası, TIN veya SNILS sağlamanız gerekir. Bu durumda, bir saldırganın herhangi bir kişinin gerçek pasaport verilerini elinde bulundurması yeterli olacaktır. Kalan bilgileri açık kaynaklardan (sosyal ağlar, devlet organlarının kaynakları) alabilecektir. Böyle bir cüzdan, saldırganın kimliğiyle ilişkilendirilmeyecek ve bu, gölge piyasada başka bir kişi adına diğer katılımcılarla anlaşma yapmasına izin verecektir.

2.4. Giriş

Dark web’deki “Erişimler”, bir siteye veya sunucuya yetkisiz erişim elde etmek için kullanılabilecek bilgilerdir, ardından dosya indirme veya komutları yürütme yeteneği gelir. Erişim çeşitli amaçlar için kullanılabilir.

Şekil 24. Saldırıya uğramış sitelere erişim değişimi
Şekil 24. Saldırıya uğramış sitelere erişim değişimi

Örneğin, bir haber sitesi üzerinde kontrol sahibi olan bilgisayar korsanları, sayfalarından kötü amaçlı yazılım dağıtabilir ve ziyaretçilere bulaşabilir. Bir çevrimiçi mağazanın sitesine erişim, suçlular tarafından müşteri banka kartı verilerini çalmak için kullanılabilir. Devlet kurumlarının web siteleri daha sık DoS saldırılarına veya tahrifata maruz kalmaktadır (kaynağın ana sayfasının içeriğinin değiştirilmesi).

Sunuculara ve iş istasyonlarına erişim, siber suçlular tarafından çoğunlukla fidye yazılımı truva atlarını yaymak ve ayrıca hedefli saldırılar sırasında şirketlerin kurumsal bilgi sistemlerine giriş noktalarını yaymak için kullanılır.

Positive Technologies uzmanları tarafından yürütülen harici sızma testi sonuçlarına göre, 2017 yılında kurumsal bilgi sistemlerinin ağ çevresinin güvenliğinin 2016 seviyesinde kalmasına rağmen, saldırıların karmaşıklığının önemli ölçüde azaldığı belirtilmelidir . . Dolayısıyla, 2016’da saldırının karmaşıklığı vakaların %27’sinde önemsiz olarak değerlendirilirse, 2017’de zaten %56’ydı.

Şekil 25. İstenen erişim türleri
Şekil 25. İstenen erişim türleri
Şekil 26. Satışa Sunulan Erişim Türleri
Şekil 26. Satışa Sunulan Erişim Türleri
Şekil 27. Erişim ticaretinde arz-talep ilişkisi
Şekil 27. Erişim ticaretinde arz-talep ilişkisi

En popüler erişim türü, web kabuğu veya içerik yönetim sistemi (CMS) yönetici kimlik bilgileri biçiminde saldırıya uğramış bir siteye erişimdir. Bir web kabuğu, bir saldırgana tarayıcıdaki bir sayfa aracılığıyla sunucu işletim sistemine erişim sağlayan ve genellikle veritabanına erişme yeteneği olan bir web uygulamasındaki bir güvenlik açığı aracılığıyla önceden yüklenmiş kötü amaçlı bir komut dosyasıdır. Çoğu durumda, böyle bir web kabuğuna sahip bir saldırganın ayrıcalıkları, web uygulamasının ayrıcalıklarını aşmaz ve bu nedenle yalnızca sitenin kendisine saldırabilir. Sunucu üzerinde tam kontrol elde etmek için, saldırganın yazılım güvenlik açıklarını kullanarak ayrıcalıkları kendi başına yükseltmesi gerekecektir.

Çok sayıda site aynı teknolojiler kullanılarak geliştirildiğinden, örneğin yalnızca bir CMS’de kritik bir güvenlik açığının keşfedilmesi, aynı anda birçok siteye otomatik olarak saldırmanıza olanak tanır. Bu durumda, sunucuya dosya yüklemenize izin verecek bir siteye erişim 0,15 dolara satılabilir.

Saldırıya uğrayan kaynak finans, kripto para birimleri, ICO veya bir çevrimiçi mağaza ile ilgiliyse, bu tür erişim fiyatları birkaç yüz dolardan başlayıp birkaç bine ulaşabilir.

Şekil 28. ICO sitesine erişim satışı
Şekil 28. ICO sitesine erişim satışı

Sunucu erişimi, genellikle RDP veya SSH protokolleri aracılığıyla oturum açmak için sunucu adresi ve kullanıcı kimlik bilgileridir. SSH erişimi için düşük talep, bu protokolün çoğunlukla Linux çalıştıran sunuculara bağlanmak için kullanılması ve saldırganların geleneksel olarak Windows çalıştıran bilgisayarlara saldırmaya alışkın olmaları gerçeğinden kaynaklanmaktadır. Tek bir düğüme erişim için kimlik bilgileri fiyatları birkaç dolardan başlar ve birkaç yüze kadar çıkabilir. Örneğin, bir ATM’ye RDP erişimi 500 dolara mal olabilir.

Şekil 29. Uzak ana bilgisayarlara RDP erişimi için kimlik bilgileri satma
Şekil 29. Uzak ana bilgisayarlara RDP erişimi için kimlik bilgileri satma

3. Hizmetler

Saldırıları hazırlamak için saldırganlar genellikle üçüncü tarafların yardımına başvurur. Aynı zamanda, çalışanlar çalışmalarının gerçek amacı hakkında hiçbir şey bilmeyebilirler: kendilerine dar odaklı bir görev verilir ve ardından vaat edilen miktarda parayı alırlar. Saldırganlar, bu tür serbest çalışanların hizmetlerine ek olarak, saldırıları gerçekleştirmek için gereken altyapıyı ve kaynakları sağlayan hizmetlerle (adanmış sunucular, VPN’ler, botnet’ler ve diğerleri) ilgilenir.

Şekil 30. Hizmet talebi
Şekil 30. Hizmet talebi
Şekil 31. Hizmet teklifi
Şekil 31. Hizmet teklifi

Dark web’deki en yüksek talep, kötü amaçlı yazılım oluşturma ve dağıtma (%55) ile posta, web siteleri ve uzak sunucuları ele geçirme (%17) ile ilgili hizmetlerdir. Teklifler ayrıca çoğunlukla HPE ile ilgilidir (%28). Aynı zamanda, önemli sayıda teklif barındırma ve VPN hizmetlerine (%26), botnet kaynaklarını kullanan hile görüntüleme, beğenme, gönderi vb. hizmetlere (%16) ve para çekme hizmetlerine (%10) düşüyor.

Şekil 32. Gölge piyasada hizmet talebi ve arzı arasındaki korelasyon
Şekil 32. Gölge piyasada hizmet talebi ve arzı arasındaki korelasyon

3.1. VPO ile ilgili hizmetler

Kötü amaçlı yazılım pazarında hazır çözümler olmadığında ve suçlunun belirli bir Truva atı geliştirmesi gerektiğinde, bunu kendisi yapabilir veya bu sorunu çözmek için bir programcı arayan bir ilan verebilir. Aşağıdaki şemadan da görebileceğiniz gibi, kötü amaçlı yazılım geliştirme talebi mevcut arzdan üç kat daha fazladır, bu da suçluların her gün saldırı yöntemlerini değiştirdiği, koruma araçlarını ve daha karlı suç planlarını atlatmak için yeni yollar aradığı anlamına gelir. Ek olarak, dün sipariş için kötü amaçlı yazılım oluşturarak para kazanan programcılar, bugün daha karlı bir iş olduğu için hazır çözüm satıcıları kategorisine girmeye başlıyor.

Kötü amaçlı yazılımın gizlenmesi (işlevsellik korunurken yürütülebilir kodun analizi zorlaştıran bir forma getirilmesi) genellikle geliştirme hizmetinin maliyetine dahildir, bu nedenle nadiren ayrıca sipariş edilir, ancak bu hizmet hala teklifler arasındadır.

Benzer şekilde, yeni oluşturulan kötü amaçlı yazılımların dağıtılacağı karanlık ağda hizmetler bulabilirsiniz. Kötü amaçlı yazılım dağıtımı talebi, arzı önemli ölçüde aşıyor. Suçlunun kendi botnet’i yoksa ve e-posta göndermek istemiyorsa, piyasada uygun hizmetleri bulması gerekir.

Şekil 33. VPO ile ilgili hizmetlere yönelik talep
Şekil 33. VPO ile ilgili hizmetlere yönelik talep
Şekil 34. Kötü amaçlı yazılımlarla ilgili hizmet teklifi
Şekil 34. Kötü amaçlı yazılımlarla ilgili hizmet teklifi
Şekil 35. VPO ile ilgili hizmetlerin arz ve talebi arasındaki korelasyon
Şekil 35. VPO ile ilgili hizmetlerin arz ve talebi arasındaki korelasyon

3.1.1. Kötü amaçlı yazılım geliştirme

Kötü amaçlı yazılım geliştirme hizmetlerinin karanlık web sitelerinde ortalama 500 ABD doları olduğu tahmin edilmektedir. Genellikle yalnızca geliştirme değil, tersine mühendislik de gereklidir (örneğin, kodu açık veya kapalı kaynaklardan elde edilemeyen mevcut kötü amaçlı yazılımlara dayalı yeni bir kötü amaçlı yazılım oluşturmak için).

Şekil 36. Özel bir kötü amaçlı yazılım geliştiricisi arayın
Şekil 36. Özel bir kötü amaçlı yazılım geliştiricisi arayın

Uzmanlaşmış sitelerde, tersine mühendisler için iş teklifleri proje başına 1.000 dolardan başlar.

Şekil 37. Bir tersine mühendis arayın
Şekil 37. Bir tersine mühendis arayın

3.1.2. Kötü amaçlı yazılımın gizlenmesi

Karanlık ağda, kötü amaçlı yazılımların geliştirilmesi etrafında, paketleme, gizleme, yürütülebilir dosyaların şifrelenmesi ve dosyaların olası tüm antivirüslerle kontrol edilmesi gibi çeşitli hizmet alanları oluşmuştur. Bu alanları uygulayan hizmetlerin ve çözümlerin görevi, son yürütülebilir dosyanın çoğu popüler antivirüs tarafından algılanmamasını, ideal durumda, bunların hiçbiri tarafından mümkün olduğunca uzun süre algılanmamasını sağlamaktır.

Genellikle ilk “temizleme”, şaşırtma veya dosya şifrelemenin kötü amaçlı yazılımın maliyetine dahil olduğu varsayılır. Ek temizlikler, HP’nin temel maliyetinin %5–10’una mal olur. Satıcı geliştirici böyle bir dosya değişikliği yapmazsa, alıcı her zaman ortalama 20 ABD dolarına mal olan üçüncü taraf gizleme hizmetlerini kullanabilir.

Birkaç kuruş için birkaç düzine antivirüs içeren bir dosyayı kontrol etmenize izin veren hizmetler var. Düzenli olarak daha fazla dosyayı kontrol etmesi gerekenler için 25 dolardan başlayan aylık abonelik mevcuttur.

Şekil 38. Düzinelerce antivirüs kullanarak bir dosyanın anonim olarak taranması
Şekil 38. Düzinelerce antivirüs kullanarak bir dosyanın anonim olarak taranması

3.1.3. Kötü amaçlı yazılımın dağıtımı

Siber saldırı gerçekleştirmek için kötü amaçlı yazılımın kendisine sahip olması yeterli değildir, aynı zamanda kurbanların bilgisayarlarına da iletilmesi gerekir. Saldırganlar, kötü amaçlı yazılımları çeşitli şekillerde dağıtabilir:

  • kimlik avı e-postalarında ek olarak;
  • kimlik avı e-postalarında, SMS’lerde, anlık mesajlaşma programlarında ve sosyal ağlarda bir dosya indirmek için bir bağlantı aracılığıyla;
  • saldırıya uğramış veya saldırgan tarafından kontrol edilen sitelere yerleştirilen, sözde güncellemeler veya yardımcı programlar içeren sahte dosyalar biçiminde;
  • bir botnet aracılığıyla.

Saldırganlar, kullanıcıları virüslü bir kaynağa çekmek için trafik satanların hizmetlerini kullanır. Ortalama 15$’a mal olan hizmet, halihazırda saldırıya uğramış ve yüksek trafiğe sahip bir siteden veya popüler arama motorlarının içeriğe dayalı reklamcılık sistemi aracılığıyla, saldırganlar tarafından kontrol edilen bir siteye kullanıcı akışlarını yeniden yönlendirmeyi içerir.

Şekil 39. Dağıtım hizmetleri talebi
Şekil 39. Dağıtım hizmetleri talebi
Şekil 40. Dağıtım hizmetleri teklifi
Şekil 40. Dağıtım hizmetleri teklifi
Şekil 41. Kötü amaçlı yazılım dağıtım hizmetleri için arz ve talep arasındaki korelasyon
Şekil 41. Kötü amaçlı yazılım dağıtım hizmetleri için arz ve talep arasındaki korelasyon

Botnet sahipleri, bir hizmet olarak, üçüncü taraf dosyalarını kontrollü cihazlara indirmeyi ve ardından bunları başlatmayı teklif eder. Böylece, 50$’a 1000 rastgele düğüme bir dosya yükleyebilirsiniz ve yaklaşık 400$’a bu düğümlerin coğrafi konumunu seçebilirsiniz. Bu tür hizmetler, belirli bir faaliyet alanındaki şirketlere saldıran gruplar tarafından kullanılır. Örneğin, bankalara bir saldırı hazırlanıyorsa, botnet sahibinden virüslü cihazların IP adreslerinin bir listesi istenir ve finansal kurumlar ve karşı taraflarıyla ilgili düğümleri seçer.

Şekil 42. Botlara kötü amaçlı yazılım indirmek ve yüklemek için Botnet hizmetleri
Şekil 42. Botlara kötü amaçlı yazılım indirmek ve yüklemek için Botnet hizmetleri

Başarılı bir kimlik avı saldırısı için, bir suçlunun genellikle kötü amaçlı yazılım dağıtmak veya kullanıcı kimlik bilgilerini ve ödeme verilerini çalmak için kullanacağı bir web sitesi oluşturması gerekir. Gölge piyasada bir sitenin basit bir kopyasını oluşturmak 50-150 $’a mal olurken, giriş verilerini kontrol eden ve saldırıdan sonra kullanıcıyı orijinal siteye yönlendiren (şüphe uyandırmamak için) kimlik doğrulama formlarına sahip gelişmiş bir sürüm maliyetli olacaktır. 200 doların üzerinde. Aynı zamanda, uzmanlarımız tarafından gerçekleştirilen bilgi güvenliği konularında çalışanların farkındalığının değerlendirilmesine göre, vakaların %27’sinde saldırganlar, kimlik bilgileri talebiyle bir web kaynağına bağlantılar içeren kimlik avı e-postaları göndererek başarılı oluyor. 21 .

En alakalı örnek: 2017’de, projenin resmi web sitesinin klonlanmasını kullanarak bir ICO’ya saldırma yöntemi, oltalama e-postalarının toplu olarak dağıtılmasıyla eş zamanlı olarak yaygınlaştı. Kullanıcılar böyle bir kaynağı ziyaret etti ve belirtilen sahte cüzdan adreslerine kripto para birimi aktardı. Böylece potansiyel yatırımcılar projeye yatırım yapmak yerine suçlulara sponsor oldular. Saldırganların Etherium 22 kripto para biriminde 1.000.000 dolardan fazla çalmayı başardığı 2018’in başında BeeToken ICO projesi buydu .

Şekil 43. Bir kimlik avı sitesinin geliştirilmesi için hizmetlerin maliyeti
Şekil 43. Bir kimlik avı sitesinin geliştirilmesi için hizmetlerin maliyeti

3.2. altyapı

Meşru ticari VPN hizmet sağlayıcıları, etki alanı kayıt şirketleri ve barındırma sağlayıcıları İnternette geniş bir şekilde temsil edilmektedir. Saldırganlar, başka birinin pasaport verilerini kullanarak kaydolarak bu tür sağlayıcıların hizmetlerini nispeten az parayla satın alabilirler.

Şekil 44. Talep edilen altyapı ile ilgili hizmet türleri
Şekil 44. Talep edilen altyapı ile ilgili hizmet türleri
Şekil 45. Sunulan altyapı ile ilgili hizmet türleri
Şekil 45. Sunulan altyapı ile ilgili hizmet türleri
Şekil 46. Altyapı ile ilgili hizmetler için arz ve talebin korelasyonu
Şekil 46. Altyapı ile ilgili hizmetler için arz ve talebin korelasyonu

Saldırganlar, siber saldırılar gerçekleştirirken, anonimliklerini sağlamak için hem yasal hem de yasa dışı VPN hizmetlerini kullanır. Siber suçluların bir hizmet seçmesinin ana kriteri, hizmet kullanıcı muhasebe sisteminin olmaması, yani bir IP adresi ile belirli bir kullanıcı arasındaki eşleşmeyi geri yüklemeye izin veren kayıtların fiilen olmamasıdır.

Ticari VPN hizmetleri, sezonluk indirimler ve daha fazlası hariç, aylık 5 dolardan başlar. Ancak, bazı kullanıcılar güvenilirliklerine bağlı olarak aylık 15 dolardan başlayan daha pahalı hizmetleri tercih ediyor. Bu hizmetler yasal olsa ve internette açıkça barındırılsa da, bazı suçluların belirli VPN hizmetleriyle ilgili deneyimleri hakkında yorum bıraktığı ve diğer suçluları da aynı şeyi yapmaya teşvik eden karanlık web forumlarında reklamı yapılabilir.

Durum, saldırganlar tarafından kötü amaçlı yazılımlar, barındırma siteleri veya saldırının gerçekleştirildiği ara düğümler için komuta merkezleri olarak kullanılan özel sunucuların kiralanmasına benzer. Sahipler, bu tür sunucuları gölgeli forumlarda ayda 80 dolardan başlayan fiyatlarla kiralarlar.

Bir kimlik avı sitesi oluşturmak için barındırma kiralamaya ek olarak, bir saldırganın bir kayıt şirketinin hizmetlerini kullanarak 3-10 $ karşılığında alınabilecek bir alan adına ihtiyacı vardır. Genellikle, bir alan satın alırken, kayıt şirketi, böyle bir başvuruda bulunan kullanıcının pasaport bilgilerini kontrol eder. Ancak, yukarıda belirttiğimiz gibi, bir pasaport taraması satın almak bir saldırgan için büyük bir sorun değildir.

Bazı hizmetler, bir kripto cüzdanının birkaç dakika içinde oluşturulmasına ve sahibi hakkında bilgi içermemesine ve aynı zamanda anonim kalmanıza izin vermesine rağmen, kripto para biriminde bir alan adı kaydettirmek için ödeme kabul eder. Bu tür hizmetler anlaşılır bir şekilde yüksek talep görmektedir.

3.3. Spam ve kimlik avı

Bugün, kimlik avı veya spam postalarıyla karşılaşmamış neredeyse hiç İnternet kullanıcısı kalmadı.

Şekil 47. Posta hizmetleri talebi
Şekil 47. Posta hizmetleri talebi
Şekil 48. Posta listesi hizmetleri sunmak
Şekil 48. Posta listesi hizmetleri sunmak
Şekil 49. Posta listesi hizmetleri için arz ve talep arasındaki korelasyon
Şekil 49. Posta listesi hizmetleri için arz ve talep arasındaki korelasyon

Suçlular, potansiyel kurbanların sayısını artırmak için genellikle özel forumlarda bulunabilen toplu posta tekliflerini kullanır. Bugün, 1 dolardan daha az bir ücretle, aynı anda 1000 rastgele adrese gerekli metni ve ekli bir dosyayı içeren bir mektup gönderebilirsiniz. Elbette, belirli bir kullanıcı grubunun ilgisini çekebilecek belirli konulara dayalı postalar sunan hizmetler var. Bu gerçek bir iştir, çünkü bir fidye yazılımı Truva Atı yardımıyla bilgisayarlara bulaşmanın bir sonucu olarak, bir kurbandan bile fidye ödemek, posta masraflarını defalarca öder.

Şekil 50. Toplu e-posta teklifi
Şekil 50. Toplu e-posta teklifi

3.4. Sipariş vermek için hackleme

Halkın zihnindeki bilgisayar korsanları, devlet kurumlarının ve büyük şirketlerin sunucularına girenlerle ilişkilendirilir. Gerçekte, karanlık web’de hackleme taleplerinin çoğu, web sitelerindeki güvenlik açıklarını bulma (%36) ve e-posta şifreleri (%32) almakla ilgilidir. Aynı zamanda, gölge siteleri ziyaret edenlerin yalnızca %23’ü uzak bir sunucuya saldırabilecek bir uzman arıyor. Sunulan hizmetler arasında sosyal ağ hesaplarının ve e-posta hesaplarının hacklenmesi (her biri %33) başı çekmektedir. Bir yandan bu, bazı kişilerin diğerlerinin yazışmalarına erişme arzusundan kaynaklanırken, diğer yandan bu “saldırılar” saldırgandan diğerlerinden daha az teknik beceri gerektirir.

Şekil 51. Bilgisayar korsanlığı hizmetlerine olan talep
Şekil 51. Bilgisayar korsanlığı hizmetlerine olan talep
Şekil 52. Bilgisayar korsanlığı hizmeti teklifi
Şekil 52. Bilgisayar korsanlığı hizmeti teklifi
Şekil 53. Bilgisayar korsanlığı hizmetlerinin arz ve talebi arasındaki korelasyon
Şekil 53. Bilgisayar korsanlığı hizmetlerinin arz ve talebi arasındaki korelasyon

Bir saldırgan, posta hizmetlerinden kimlik bilgilerini çaldığı için 1,5 yıl özgürlük kısıtlaması cezasına çarptırıldı 23

3.4.1. E-posta ve sosyal medya hesaplarının hacklenmesi

Gölgeli sitelerde, popüler sosyal ağlardaki posta kutularını ve hesapları hackleme hizmetleri 40 dolardan başlıyor.

Bilgisayar korsanlarının ve müşterilerinin birinin posta kutusuna veya sosyal medya hesabına erişmesi gerekmesinin birçok nedeni vardır. Bazıları ünlü kişilerin özel yazışmalarına erişmek, diğerleri ticari rakiplerin gizli bilgilerine erişmek ve diğerleri sadece tanıdıklarını veya akrabalarını kontrol etmek istiyor.

Şekil 54. Posta kutularını hackleme
Şekil 54. Posta kutularını hackleme

Ek olarak, e-postaya erişim otomatik olarak, bu e-postanın bir hesap açmak için kullanıldığı çeşitli sitelerdeki tüm kullanıcı hesapları üzerinde kontrol sahibi olmanızı sağlar: bunlar sosyal ağlar, forumlar, çevrimiçi mağazalar, elektronik cüzdanlar ve diğer hizmetler olabilir. İhlal edenin bu sitelere şifre kurtarma talebi göndermesi ve mektuptaki bağlantıya tıklayarak kendi şifresini değiştirmesi yeterlidir. Bu nedenle, saldırganların tek bir kişiye ait birçok farklı hizmetten kimlik bilgilerini çalmaya çalışmaktansa yalnızca bir posta hesabını hacklemeleri çok daha kolay ve verimlidir, bu nedenle bu hizmet talep görmektedir.

10.000? devlet kurumunun internet sitesine saldıran öğrenciye para cezası verildi 25

3.4.2 Siteleri, sunucuları, ağ ekipmanını hacklemek

Siteler üzerinde kontrol kazanmanın amaçları farklı olabilir: kullanıcı veritabanına erişim sağlamak, siteye kötü niyetli içerik göndermek, birinin kendi bilgisayar korsanlığı becerilerini test etmek veya kişinin siyasi görüşlerini beyan etmesi (örneğin, bir tahrifat kullanmak). Bir saldırı gerçekleştirmek için, suçluların site üzerinde kontrol sahibi olmaları veya bir web uygulamasındaki bireysel güvenlik açıklarından yararlanmaları gerekir. İnternetteki çoğu kaynağın son derece düşük güvenliği göz önüne alındığında, bunu yapmak zor değildir.

Web sitesi korsanlığı hizmetleri hem yalnız bilgisayar korsanları hem de tüm gruplar tarafından sağlanır. Dark web’de, bir web kaynağını hacklemenin fiyatı 150 dolardan başlıyor. İncelenen ticaret katlarındaki en yüksek fiyat 1.000 doları geçmedi.

2017’de web sitesi korsanları, dikkatlerini kripto para projelerine, yani borsalar ve ICO’lar yürüten şirketlere odakladı. Yani örneğin saldırganlar sadece ICO’da yayınlanan projenin web sitesindeki cüzdan numarasını değiştirerek milyonlarca dolarlık kripto para yatırımcısını cüzdanlarına yönlendirdi. Web kaynaklarını hacklemek yalnızca ICO’lara saldırmanın en yaygın yolu değil, aynı zamanda en başarılısıdır: uzmanlarımız tarafından yürütülen ICO güvenlik analizi sırasında, projelerin %32’sinde web uygulamalarındaki güvenlik açıkları keşfedildi 24 .

Ek olarak, savunmasız siteler davetsiz misafirler tarafından sonraki hedefli saldırılar için kötü amaçlı yazılım barındırmak için kullanılabilir. Bu tür sitelerin sahipleri böylece istemeden saldırı zincirinde bir halka haline gelir. Benzer bir teknik, yöntemleri raporlarımızdan 26 birinde açıklanan Kobalt grubu tarafından kullanılmıştır .

Ana sayfadaki içeriği değiştirmek için devlet kurumlarının web sitelerini hackleyen bilgisayar korsanlarını unutmayın.

Şekil 55. Takıma hacker alımı
Şekil 55. Takıma hacker alımı

Parolaları tahmin eden kötü amaçlı yazılımlar kullanarak sunucuları hackleyen uzmanların çalışmalarının haftalık 150-250 dolar olduğu tahmin ediliyor. Bu şekilde elde edilen erişimler, gölgeli pazar yerlerinde satılır veya örneğin kripto madencileri veya şifreleyicilerin yardımıyla saldırganların kendileri tarafından paraya dönüştürülür.

Benzer şekilde, ağ ekipmanına erişim kazanırlar: kullanıcılar genellikle üretici tarafından belirlenen parolaları değiştirmeyi unuturlar ve bu da saldırganların bunları kolayca almasına olanak tanır. Çoğu zaman, saldırıya uğramış cihazlara özel kötü amaçlı yazılımlar bulaşır ve daha sonra DDoS saldırılarında kullanılan bir botnet’e bağlanır.

Ciddi siber suçlu grupları, genellikle güvenlik açıklarını bulma ve ağ kaynaklarını hackleme konusunda derin teknik becerilere sahip uzmanlar arıyor. İncelenen sitelerde, bu tür yetkinliğe sahip kişilere 3.000 dolar maaş teklif edilen reklamlara rastladık. Aynı zamanda, grupların kendileri, maliyeti saldırı başına 500 dolardan başlayan web sunucularına ve altyapıya yönelik saldırılar da dahil olmak üzere, bilgisayar korsanlığı hizmetleri sağlıyor.

3.5. Droplar, nakit çıkışlar ve içeriden öğrenenler

Hemen hemen tüm siber saldırılar, nihayetinde zenginleştirme amacıyla gerçekleştirilir. Bu, 2017’deki siber saldırıların %70’inin finansal kazanç için gerçekleştirildiğini gösteren araştırma istatistiklerimiz tarafından da doğrulanmaktadır27 . Ancak siber suç faaliyetleri sonucunda alınan kirli para, saldırganlar tarafından hemen bir banka kartına aktarılamaz. Bu nedenle suçlular, gölge piyasada var olan finansla ilgili bir takım hizmetlere başvurmak zorundadır.

Ödeme sistemleri aracılığıyla fon transferi en çok talep edilen hizmettir (%52) ve aynı zamanda teklifler arasında en yaygın şekilde temsil edilendir (%35). Saldırganlar bunu genellikle kullanıcıların ödeme sistemi hesaplarıyla bağlantılı banka kartlarından para çalmak için kullanır. Bu tür hizmetler tarafından alınan ortalama komisyon, transfer tutarının %20’sidir.

Şekil 56. Finansal hizmetlere yönelik talep
Şekil 56. Finansal hizmetlere yönelik talep
Şekil 57. Finansal hizmet arzı
Şekil 57. Finansal hizmet arzı
Şekil 58. Finansal hizmetlerin arz ve talep oranı
Şekil 58. Finansal hizmetlerin arz ve talep oranı

Para çekmek veya diğer dolandırıcılık faaliyetlerini yürütmek için çeşitli planlar uygulamak için, suçluların finans kurumlarında suç ortaklarına ihtiyacı vardır. Örneğin, bir iletişim salonu çalışanının ödeme sistemlerinden birinde bir cüzdan kullanıcısını tanımlaması gerekebilir. Bir banka çalışanı, mevduat sahipleri ve borç alanlar hakkında bilgi içeren bir müşteri veri tabanına erişebilir. Banka çalışanlarının, müşterilerin hesaplarına bilgi ve rızası olmadan kart verdiği durumlar olmuştur28 .

Şekil 59. Çalışan arama
Şekil 59. Çalışan arama

Başka eylemlerin kimliğin doğrulanmasını gerektirdiği veya maruz kalma riskinin yüksek olduğu durumlarda, suçlular damla adı verilen kişilerin hizmetlerine başvurur. Damlalar, ATM’den çift kartlardan para çekmek, kendi adlarına bir tüzel kişilik kaydettirmek, posta almak ve iletmek vb. Gibi birkaç bin ruble için “kirli” işler yapan aptallardır.

Şekil 60. Damlalı düşürme kılavuzu
Şekil 60. Damlalı düşürme kılavuzu

Siber suçlular, anonimliklerini korumak için doğrudan kripto cüzdanlarına veya banka hesaplarına para çekmezler. Örneğin, bir saldırgan işlemlerin izlenemeyeceği şekilde kripto para birimini bir cüzdandan diğerine aktarmak isterse, o zaman bitcoin karıştırıcılarının hizmetlerini kullanabilir. İlk cüzdandaki kripto para birimindeki fonlar hizmet cüzdanına aktarılır, ardından bu fonların yatırılması gereken ikinci cüzdanın adresi belirtilir. Kripto para, önceden bilinmeyen tahmin edilemeyen adreslerden belirtilen adrese gelir. Bu tür hizmetlerin sahipleri, işlemleri gizlemek için kripto para birimi borsalarının ve bahisçilerin işleyişinin özelliklerini kullanır.

Şekil 61. Temizlik parası
Şekil 61. Temizlik parası

Tüm gölge forumlar transferlere, aklama ve banka hesaplarından para çekme işlemlerine ayrılmıştır. Kumarhaneler, bahisçiler, paravan şirketler ile ilgili birçok plan vardır ve bunlar bu çalışmada ele alınmamıştır.

Şekil 62. "Parayı çekmek" için banka çalışanlarını arayın
Şekil 62. “Parayı çekmek” için banka çalışanlarını arayın

3.6. botnet

Genel olarak, bir botnet, tek bir kontrol merkezinden komutla belirli eylemleri gerçekleştirebilen özel bir Truva atı bulaşmış birleşik bir cihaz grubudur. Bir botnet’in en zararsız kullanımı, hem sıradan kullanıcılar hem de ondan para kazananlar – profesyonel blogcular ve çeşitli İnternet şirketleri tarafından değer verilen beğenileri ve görüşleri aldatmaktır.

Şekil 63. Popüler bir platformda hile video görüntüleri
Şekil 63. Popüler bir platformda hile video görüntüleri

Bu nedenle, örneğin, popüler bir video platformunda bir bot tarafından bir beğeninin maliyeti 0,1 € iken, popüler bir film kaynağında bekleme derecelendirmesinde bir oylamanın maliyeti 6 € olacaktır.

Botnet kaynakları, kripto para madenciliği için de kullanılabilir. Elbette bu çok büyük paralar getirmiyor ama boşta kalan bir botnet hiç para kazandırmıyor. Bir botun saniyede 40 hash performansıyla Monero kripto para birimini “mayınlayabildiğini” varsayarsak, ki bu çalışma sırasında ayda 2 dolarlık bir gelire eşittir, o zaman 1000 bilgisayardan oluşan bir botnet saldırganın kazancını artıracaktır. aylık 2000 dolar gelir.

Genel olarak, botnet kaynaklarını kullanma senaryoları, yalnızca virüslü ana bilgisayarları kontrol eden kötü amaçlı yazılımın yetenekleri ve saldırganların hayal gücü ile sınırlıdır.

DDoS saldırılarını gerçekleştiren hacker 2 yıl hapis cezasına çarptırıldı

3.7. DDoS

Bir botnet’ten yararlanmanın yollarından biri de ayrı ayrı belirtilmesi gereken DDoS saldırılarının organizasyonudur. Dark web’de, her türlü karmaşıklıktaki DDoS saldırılarını gerçekleştirmek için hacker ekiplerinin sunduğu çok çeşitli otomatik hizmetler ve teklifler mevcuttur. Örneğin gün içinde 270 Gbps kapasiteli bir siteye yapılan DDoS saldırısının maliyeti yaklaşık 50 dolar.

DDoS saldırıları, haksız rekabetin popüler araçlarından biridir. Böylece Neustar 30’a göre , Amerikan şirketlerinin üçte biri için her bir saldırı saatinden kaynaklanan hasar 250.000 dolardır.

Şekil 64. DDoS saldırı hizmetleri sunmak
Şekil 64. DDoS saldırı hizmetleri sunmak

bulgular

2018’in ilk çeyreğinde, benzersiz olay sayısı 2017’nin aynı dönemine göre %32 artarken, olayların %63’ünde kötü amaçlı yazılım yer aldı. Çalışma, günümüzde kötü amaçlı yazılım oluşturma hizmetlerine olan talebin arzı üç kat ve dağıtım açısından iki kat aştığını gösterdi. Bu durum, bağlı kuruluş programları, kötü amaçlı yazılım kiralama hizmetleri ve “hizmet olarak” dağıtım modeli sayesinde giderek daha erişilebilir hale gelen yeni araçlar için siber suçlulardan gelen bir talep hakkında konuşmamızı sağlıyor.

Bu eğilim sadece siber olay sayısındaki artışa katkı sağlamakla kalmıyor, aynı zamanda olayların soruşturulmasında saldırganların atfedilmesiyle ilgili ciddi sorunlar yaratıyor. Bağımsız olarak özel açıklardan yararlanmalar ve kötü amaçlı yazılımlar geliştiren veya böyle bir ayrıcalık sipariş eden saldırganlar söz konusu olduğunda, açık bir atıf mümkündür.

Bu durumda, tamamen farklı suçluların, gölge piyasada aynı hizmetleri ve kötü amaçlı yazılımları satın aldıkları için yanlışlıkla tek bir grup olarak sınıflandırılacağı ortaya çıkabilir. Aynısı saldırganın ülkesinin belirlenmesi için de geçerlidir. Kötü amaçlı yazılımın belirli bir dilde yorumlar içermesi veya mektupların hatalı yazılmış olması, yalnızca kötü amaçlı yazılımın o dili anadili olarak konuşan biri tarafından yazıldığını ve bilinmeyen bir kişiye satıldığını gösterirken, oltalama e-postalarının okuma yazma bilmeyen bir okul çocuğu tarafından yazıldığını gösterebilir. forumdaki en basit siber hizmetlerde işlem yapar.

Tüm bunlar, atıf sonuçlarına %100 güvenmek imkansız hale geleceğinden, tehdit istihbaratının son derece karmaşık bir süreç haline gelmesine ve muhtemelen anlamsız hale gelmesine neden olabilir. Ve eğer öyleyse, mevcut haliyle tehdit istihbaratı ortadan kalkacak ve odak, saldırgan bir grubu değil, bir kötü amaçlı yazılım geliştiricisi veya satıcısını göstergelerle belirlemek için uzlaşma göstergelerinden karanlık ağ analizine kayacaktır. . Ve zaten kimin kimden ve ne satın aldığına dayanarak, saldıran grup hakkında varsayımlarda bulunmak. Bu yöntemlerin zaten etkili olduğu kanıtlanmıştır ve aktif olarak kullanılmaktadır.

Aynı zamanda, saldırganın saldırıyı organize ederken kullandığı teknik ve taktikleri daha ayrıntılı olarak anlamalı ve analiz etmelidir. Bir saldırganın nitelikleri hakkında genellikle kullandığı araçlarla değil, istismar sonrası aşamalarda yaptığı hatalarla veya saldırıya uğrayan altyapıdaki davranış özellikleriyle sonuç çıkarmak mümkündür. Ne yazık ki, bir dizi nedenden dolayı, birçok şirket, tüm eserlerin aranması, saldırı zincirinin restorasyonu ve saldırganların altyapıdaki eylemlerinin analizi ile bir saldırı ve büyük olaylar durumunda soruşturma yapmaya hazır değildir. . Ancak, yüksek sınıf bir ekibin bu tür bir işi gerçekleştirdiği ve sonuçlarına göre altyapıyı korumak için öneriler sunduğu durumlarda, bu, kuruluşun güvenliğini büyük ölçüde artırır ve ayrıca, bilgisayar korsanlığının maliyetini karmaşıklaştırır ve artırır. Gelecekteki saldırganlar.

  1. ptsecurity.com/upload/corporate/en-us/analytics/Cybersecurity-threatscape-2018-Q1-eng.pdf
  2. goo.gl/v8SwKZ
  3. goo.gl/x8nJPn
  4. goo.gl/1XGBvU
  5. goo.gl/VXUT8z
  6. firecompass.com/blog/darkweb-deepweb-darknet-browsers/
  7. goo.gl/1XGBvU
  8. ptsecurity.com/upload/corporate/en-us/analytics/Cybersecurity-threatscape-2018-Q1-eng.pdf
  9. rus.azattyq.org/a/syria-darkcomet-program-opposition/24648538.html
  10. group-ib.ru/resources/threat-research/money-taker.html
  11. securityintelligence.com/anatomy-of-an-hvnc-attack/
  12. goo.gl/MgwS5B
  13. ptsecurity.com/upload/corporate/ru-ru/analytics/ATM-Security-rus.pdf
  14. krebsonsecurity.com/2018/01/first-jackpotting-attacks-hit-us-atms/
  15. finextra.com/pressarticle/73375/atm-malware-attacks-hit-europe
  16. www-01.ibm.com/common/ssi/cgi-bin/ssialias?htmlfid=WGL03135USEN
  17. ptsecurity.com/ru-ru/premium/web-attacks-2017/
  18. ptsecurity.com/upload/corporate/ru-ru/analytics/Corporate-vulnerabilities-2018-rus.pdf
  19. goo.gl/VXUT8z
  20. ptsecurity.com/upload/corporate/ru-ru/analytics/Corporate-vulnerabilities-2018-rus.pdf
  21. ptsecurity.com/upload/corporate/ru-ru/analytics/Social-engineering-rus.pdf
  22. Medium.com/@MikeBacina/buzz-off-ico-phishing-scams-44b8e5620211
  23. goo.gl/vVbJzL
  24. ptsecurity.com/upload/corporate/ru-ru/analytics/ICO-Threats-rus.pdf
  25. goo.gl/ykvZ1D
  26. ptsecurity.com/upload/corporate/ru-ru/analytics/Cobalt-2017-rus.pdf
  27. ptsecurity.com/upload/corporate/en-us/analytics/Cybersecurity-threatscape-2017-eng.pdf
  28. 47news.ru/articles/83569/
  29. goo.gl/x8nJPn
  30. merhaba.neustar.biz/201710-Security-Solutions-Siteprotect-DDoS-2H2017-Report-LP.html