Positive Technologies: в даркнете открылся настоящий "секонд-хенд данных". Утечки годичной давности продают за новые

Старые утечки на теневых площадках всё чаще продают как свежие взломы. Команда Positive Technologies зафиксировала заметный рост такой практики и пришли к выводу, что вокруг давно опубликованных баз уже сложился отдельный рынок со своими правилами, посредниками и спросом. Для компаний, чьи данные однажды уже утекли, такая схема создаёт дополнительные проблемы: даже старая компрометация продолжает работать на злоумышленников.

Исследователи описывают вполне отлаженную модель повторной монетизации. Киберпреступники находят базы, которые появились в открытом доступе месяцы или даже годы назад, а затем снова выставляют их на продажу. Чтобы поднять цену и привлечь внимание, продавцы сопровождают публикации громкими заявлениями о якобы недавнем взломе конкретной организации. Часть аудитории теневых площадок не проверяет происхождение файлов и готова платить за наборы данных, которые давно гуляют по сети. Цена одного такого архива может доходить до нескольких тысяч долларов.

Один из показательных примеров связан с группировкой RED EYES. В январе злоумышленники объявили о взломе саудовской платформы Yamm и начали продавать похищенные данные. Однако анализ показал, что по структуре записей, объёму и другим признакам база полностью совпадает с массивом, который опубликовали ещё в июле прошлого года. Похожая история произошла и с Baran Company Limited. RED EYES выдала данные за результат новой атаки, хотя в действительности они уже появились в открытом доступе несколькими месяцами раньше.

Авторы схем используют не только старые базы, но и чужую репутацию. На теневых ресурсах появляются поддельные профили, копирующие стиль общения и оформление сообщений известных группировок, в том числе ShinyHunters и Babuk Locker. Такие имена давно ассоциируются с крупными утечками, громкими заявлениями и атаками на заметные компании, поэтому доверие к публикациям растёт быстрее. Следовательно, мошенникам проще убедить покупателей, что перед ними действительно свежий и ценный материал.

При этом сами форумы не всегда позволяют долго пользоваться такой маскировкой. Благодаря репутационным механизмам и внутреннему контролю подозрительные аккаунты там часто довольно быстро блокируют. По этой причине заметная часть перепродажи и формирования спроса смещается в мессенджеры. Именно они становятся удобной средой, где легче рекламировать старые базы под видом новых и искать покупателей на скомпрометированную информацию.

По оценке Positive Technologies, деньги на таком вторичном рынке вполне реальные и немалые. Один из администраторов канала, посвящённого утечкам, даже утверждал, что заработал за месяц около 130 тысяч долларов. Даже если смотреть на эту цифру как на заявление участника теневого рынка, она хорошо показывает масштаб интереса к перепродаже старых баз и уровень доходности такого бизнеса.

Опасность для компаний на этом не заканчивается даже спустя годы после первой публикации данных. Дмитрий Стрельцов из группы международной аналитики Positive Technologies объясняет, что старая утечка всё ещё может использоваться в практических атаках. Информация из архивов подходит для фишинга, первичной разведки, компрометации учётных записей и подготовки новых вторжений. Кроме того, постоянное возвращение данных одной и той же организации на теневые площадки подогревает интерес злоумышленников и повышает вероятность новых попыток атаки. В результате компаниям становится сложнее и прогнозировать угрозы, и выстраивать защиту.

Что делать? Ответ очевиден: смотреть не только на новые инциденты, но и на повторное появление старых утечек данных на теневых ресурсах. Не менее важно следить за поведением самих участников дарквеба: такой мониторинг помогает точнее оценивать риски и вовремя принимать защитные меры.