Dark Web – Czy warto monitorować?
Dlaczego powinno się monitorować działalność przestępczą w sieci Dark Web?
Przede wszystkim po to, aby zneutralizować zagrożenia bezpieczeństwa dla organizacji. Częstotliwość cyberataków rośnie w bardzo szybkim tempie, w ciągu ostatnich kilku lat rynek cyberprzestępczości podwoił się, a koszty szkód spowodowanych atakami głównie ransomware jest bardzo wysoki i szacuje się, że w 2021 roku wzrośnie o około 60%. Dlatego nie jest już dopuszczalne jedynie reagowanie na cyberataki, lecz strategiczna obrona pozwalająca identyfikować zagrożenia zanim się pojawią, dlatego bardzo ważne jest dziś podejście ofensywne, w tym proaktywne monitorowanie sieci Dark Net, co pozwala ograniczać ryzyko.
Czym jest Dark Net?
Dark Net jest podzbiorem Internetu dostępnym tylko za pomocą specjalnego oprogramowania, przeglądarki, tak aby jego użytkownicy pozostali anonimowi i niewykrywalni. Strony internetowe w dark webie działają w unikalnym środowisku, którego nie można przeszukiwać. Cyberprzestępcy używają sieci Dark Web do koordynowania i wykonywania cyberataków, a także prowadzą sprzedaż m.in. skradzionych danych. Spora część sieci wymaga specjalnego dostępu, który uzyskuje się po zaakceptowaniu przez społeczność cyberprzestępców, należy oczywiście wcześniej zbudować właściwe relacje. Wiele danych o firmach znajduje się właśnie w tej zamkniętej części sieci Dark Net.
Monitorowanie sieci Dar Web.
W wielu przypadkach działania, które mają miejsce w sieci Dark Net — sprzedaż skradzionych danych uwierzytelniających, kart kredytowych, wrażliwych danych personalnych zlecenia ataków ransomware — są wskaźnikami rzeczywistego zdarzenia. Wielokrotnie cyberprzestępcy przechwalają się swoimi wyczynami, często nawet długo przed faktycznym atakiem. Monitorując dane zastrzeżone lub utracone dane uwierzytelniające w sieci Dark Net, a także wzmianki o firmie lub infrastrukturze, można odkryć nowe lub potencjalne zagrożenia dla organizacji. Mogą to być exploity i narzędzia związane z malcodem odpowiednie dla stosowanego w organizacji procesu technologicznego, które są właśnie rozwijane i sprzedawane w zastrzeżonych lokalizacjach sieci Dark Web. Dlatego możemy proaktywnie identyfikować pojawiające się zagrożenia istotne dla firmy już na wczesnym etapie powstawania zagrożenia, ryzyko organizacyjne jest wówczas znacznie mniejsze.
Najczęstsze przypadki użycia sieci Dark Net wraz ze wskazówkami, jak można zbierać i analizować istotne dane, aby powstrzymać cyberprzestępców na najwcześniejszym etapie ataku.
1. Ujawnienie danych uwierzytelniających
Większość cyberprzestępców jest nastawiona na szybki i duży zarobek, uzyskują to poprzez sprzedaż ujawnionych danych uwierzytelniających, dostępu do cennych baz danych — często sprzedawanych w pakietach. Monitorując źródła przestępczego podziemia pod kątem wystawionych na sprzedaż danych o pracownikach, klientach, możemy podjąć proaktywne działania m.in. zresetować zhakowane poświadczenia, kluczowa jest tu bardzo szybka reakcja.
2. Karty kredytowe, dane osobowe
Sprzedawanie skradzionych danych kart kredytowych jest najczęstszym rodzajem oszustw w sieci Dark Net. Wszystko, czego potrzebuje przestępca by dokonać oszustwa i kradzieży są to właśnie dokumenty tożsamości, w tym numery kart kredytowych, CVC, nazwiska, daty urodzenia, adresy, telefony, PESEL, są częste dane na sprzedaż.
Wykorzystując narzędzia do analizy wycieku danych w sieci Dark Net, można szybko zweryfikować czy doszło do ich naruszenia. Tym samym możemy zapobiec m.in. fałszywym profilom w mediach społecznościowych lub innych rodzajów podszywania się pod kierownictwo firmy, co może skutkować budowaniem negatywnego wizerunku.
3. Oprogramowanie ransomware jako usługa- Ransomware as a Service (RaaS)
Ataki ransomware to model biznesowy cyberprzestępców nakierowany na dzierżawę różnych wariantów oprogramowania ransomware, działający jak legalni twórcy oprogramowania. RaaS daje niestety wszystkim posiadaczom, bez względu na ich poziom wiedzy i umiejętności możliwość przeprowadzenia ataku ransomware poprzez zarejestrowanie się w usłudze.
Serwery nadzorujące platformę RaaS są zlokalizowane w sieci Dark Net. Ich właściciele szukają swoich klientów na specjalnych forach. Dostawcy RaaS świadczą również usługi elastycznych planów taryfowych, pomoc techniczną 24/7, a nawet szkolenia. Ceny kształtują się od 40 dolarów miesięcznie do kilku tysięcy dolarów, jest to trywialnie niska kwota, biorąc pod uwagę średnią żądań okupu na poziomie kilkuset tysięcy dolarów w 2020 r.
Dobrze znanym przykładem RaaS jest REvil, znany również jako Sodinokibi, został zidentyfikowany jako oprogramowanie ransomware odpowiedzialne za jedno z największych żądań okupu w wysokości 10 milionów dolarów. Sprzedawany jest przez grupę PINCHY SPIDER, która zazwyczaj inkasuje 40% zysków.
Monitorowanie sieci Dark Net ostrzega o złośliwym oprogramowaniu atakującym, nakierowanym na markę, daje to czas i informacje potrzebne do podjęcia odpowiednich działań.
4. Dezinformacja jako usługa – Disinformation-as-a-service
Przestępcy wykorzystują „fałszywe wiadomości” w celach komercyjnych. Fałszywe wiadomości są powszechnie uważane za propagandę polityczną lub ideologiczną opublikowaną w celu wpłynięcia na opinię publiczną, ale nowe badania przeprowadzone przez firmę zajmującą się cyberprzestępczością Digital Shadows sugerują, że usługi generowania fałszywych wiadomości mają obecnie na celu wyrządzenie szkód finansowych i zniszczenia reputacji firm poprzez kampanie dezinformacyjne. Monitoring pozwala na szybkie obalenie kampanii dezinformacyjnej i opracowanie strategii ustabilizowania i opanowania sytuacji.