הפשע שוב משתלם: משקיעים 10 דולר בדארקנט – והופכים למיליונרים

מתקפות כופרה רחבות היקף עשויות להתחיל עם גישה לנקודות קצה, שנרכשו בזול על ידי שחקני איום בסייבר, הפועלים בשווקים של הרשת האפלה; כך לפי מחקר חדש של סייברסיקסגיל (CyberSixgill).

החברה הישראלית, העוסקת במודיעין בזמן אמת על איומי סייבר, הנפיקה מחקר חדש – "Wholesale Access Markets & Ransomware", שעולה ממנו, כי בהשקעה של 10 דולרים, פושעי הסייבר עשויים להפוך למיליונרים, בשל היכרותם את מורכבות הגישה למכירות של גישה לתחנות קצה – ברשת האפלה.

לדברי החוקרים, "השלב הראשון של מתקפת סייבר אקטיבית הוא גישה ראשונית, השגת דריסת רגל ברשת הקורבן. שלב זה קשה לביצוע, ולכן תוקפים רבים ממירים ניסיון זה ברכישה של גישה לרשת מגורמי איום בעלי כישורים".

לפי הדו"ח, "ישנן שתי אפשרויות לגישה למכירה: מתווכים בגישה ראשונית (IABs), המוכרים גישה לחברות המיועדות לתקיפה במכירה פומבית בעלות של מאות עד אלפי דולרים, או שוקי גישה סיטונאיים (WAMs), שמוכרים גישה לנקודות קצה שנפרצו, או את פרטי הסיסמה שלהם – במחיר זעום של עשרה דולרים בלבד".

שוקי גישה סיטונאיים ברשת האפלה הם פלטפורמות, שפושעים מקוונים מוכרים בהן גישה לנקודות קצה שנפגעו, או גישה לנקודות אלו דרך פרוטוקולים מרוחקים שונים, כגון RDP ועוד.

החוקרים דימו את שוקי הגישה הסיטונאיים ל"שוקי פשפשים דיגיטליים": מחירים נמוכים, מלאי גדול, ומעט ערובה לכך שהגישה הינה מתמשכת. לפי הדו"ח, "בין פרטי גישה סתמיים וחסרי ערך ניתן למצוא לעיתים גם זהב". המוכרים הציעו בשנת 2021 גישה לכ-4.3 מיליון נקודות קצה, נתון המשקף גידול משמעותי של 457% לעומת היקף המכירות בדרך זו בשנת 2020.

החוקרים ציינו, כי במקרים רבים, פרטי נקודות הקצה עשויים להיות שייכים למשתמשים פרטניים אקראיים, שהם בעלי ערך נמוך יותר לתוקפים. "עם זאת, אם תוקף רוכש גישה לנקודת קצה ששייכת לרשת ארגונית, הרי שהוא בבחינת היהלום שבכתר, כי הוא יכול לפתוח את הדלת למתקפה גדולה יותר".

החוקרים עקבו אחר 3,612 מתקפות שאירעו בשנת 2021, והעלו כי 686 מתוכן כללו גישה למערכת IT בארגון הקורבן – שהוצעה למכירה בשוקי הגישה הסיטונאיים ברשת האפלה. נתון נוסף העולה מהדו"ח הוא, שפרטי הגישה הוצעו למכירה בפרק זמן של כחצי שנה לפני המתקפה, משמע הם הוצעו לכמה שחקני איום, או הוצעו במקביל בכמה שוקי מסחר ברשת האפלה. אף שהנתונים לא מעלים ממצאים חד משמעיים, הרי לפי החוקרים, "אף שהנתונים קשים להוכחה סיבתית, הרי שהממצאים הראשוניים שלנו מצביעים על כך, ששוקי גישה סיטונאיים הם אחת מכמה דרכים שבהן משתמשים תוקפי הכופרות כדי לקבל גישה לרשת הקורבן".

לדברי דב לרנר, ראש צוות מחקר בסייברסיקסגיל, "כל עוד רוכשי הגישה מייצרים רווחים אדירים, בלא עונש – אנו צופים כי השווקים הללו ימשיכו להיות בעלי תרומה חיונית לכלכלת פשעי הסייבר. אם שחקן איום יכול לקנות פרטי גישה בכמויות, ומתוכם לברור את הנתון שישיג לו גישה לרשת של ארגון עסקי גדול – הרי שעשרה דולרים הם השקעה ראשונית זעירה עבור מתקפה שיכולה להניב לו מיליונים".