گسترش وب تاریک و ارزش نظارت بر آن

 امروزه بسیاری از متخصصان امنیتی، دارک وب یا وب تاریک را با برخی افشا‌ها مانند اعتبارنامه‌های لو رفته از استفاده مجدد از رمز عبور کارمندان، مرتبط می‌دانند.

این یک تهدید به حساب می‌آید؛ در 6 سال گذشته، پلتفرم فلیر (Flare) بیش از 12 میلیارد اعتبار لو رفته را مشخص کرد. دارک وب همراه با انواع جرایم سایبری به سرعت در حال رشد است. ارزش نظارت بر آن نیز همین منوال را طی می‌کند.

اریک کلِی (Eric Clay)، متخصص ریسک حاکمیت و انطباق، تجزیه و تحلیل داده‌ها و تحقیقات امنیتی و معاون بازاریابی در فلیر، ارائه دهنده راه‌حل نرم‌افزار به عنوان سرویس (SaaS) مدیریت مواجهه با تهدید، دراین خصوص مقاله‌ای نوشته که به شرح زیر است : 

اکوسیستم جرایم سایبری اکنون نه تنها شامل پلتفرم‌های ارتباطی خصوصی مانند «I2P» و «Tor» می‌شود، بلکه به وب‌سایت‌های شفاف و کانال‌های تلگرام نیز دسترسی دارد.

نظارت بر وب تاریک 

ارزش ملموسی در نظارت بر تاریک وب برای خطرات احتمالی وجود دارد. در ادامه برخی تهدیدات احتمالی که ممکن است با آنها روبرو شوید، آورده شده است.

بدافزار «Infostealer»

لاگ‌های سرقت‌کننده با دسترسی شرکتی احتمالاً یکی از مهم‌ترین عوامل برای نقض داده‌ها و حملات باج‌افزار امروزی هستند.

انواع Infostealer مانند «RedLine»، راکون (Raccoon)، ویدار (Vidar)، تیتان (Titan) و آرورا (Aurora) رایانه‌ها را آلوده، سپس اثر انگشت مرورگر حاوی تمام رمزهای عبور ذخیره‌شده در مرورگر را استخراج می‌کنند. سپس عوامل تهدید نتایج را در بازارهای دارک وب یا کانال‌های تلگرام می فروشند.

این گزارش‌ها سپس برای حملات تصاحب حساب، سرقت ارزهای دیجیتال یا به عنوان دسترسی اولیه برای حملات باج‌افزار استفاده می‌شوند. Flare بیش از 20 میلیون گزارش سرقت اطلاعات را رصد کرده و در حال اضافه کردن یک میلیون گزارش جدید در ماه است که بسیاری از آنها حاوی اعتبارنامه به چندین برنامه شرکتی هستند. ما معتقد هستیم که چیزی بین 2 تا 4 درصد از گزارش‌ها شامل دسترسی به محیط‌های فناوری اطلاعات شرکت‌ها هستند که در صورت به خطر افتادن می‌توانند خطرات قابل‌توجهی ایجاد کنند.

برای شناسایی عوامل مخربی که گزارش‌های سرقتی را در سراسر دارک وب و تلگرام توزیع می‌کنند، شرکت‌ها می‌توانند هرگونه گزارشی را که شامل دسترسی به دامنه شرکتی داخلی است، مانند «sso.companyname.com»، نظارت کنند.

کارگزاران دسترسی اولیه

دلالان دسترسی اولیه (IAB) در تالارهای گفتگوی دارک وب مانند «XSS» و «Exploit.in» فعال هستند. این دلال‌ها دسترسی اولیه به شرکت‌ها را ایجاد می‌کنند و آنها را مجدداً در حراج‌ها و موضوعات انجمن، معمولاً با قیمت 10 هزار تا 500 هزار دلار در هر فهرست، بسته به شرکت و سطح دسترسی، می‌فروشند. یک فهرست معمولاً شامل موارد زیر است :

•   تعداد دستگاه‌ها و خدمات به خطر افتاده 
• صنعت شرکت قربانی
•  آنتی ویروس یا پلت‌فرم شناسایی و پاسخ نقطه پایانی که شرکت از آن استفاده می‌کند
• درآمد شرکت
• تعداد کارکنان
• موقعیت جغرافیایی شرکت
• هاست‌ها یا سرورهای در معرض خطر

عوامل تهدید می‌توانند این دسترسی را خریداری و از آن برای استقرار باج‌افزار یا سرقت داده‌های حساس یا منابع مالی استفاده کنند.

نظارت بر انجمن‌های دلال‌های دسترسی اولیه می‌تواند هشدارهای اولیه را در مورد اینکه عوامل مخرب دستگاه‌ها را به خطر انداخته‌اند، ارائه دهد. دلال‌ها هرگز نام دقیق شرکت را لیست نمی‌کنند، اما به طور کلی جزئیات کافی را ارائه می‌دهند که اگر سازمان شما قربانی باشد، شانس معقولی وجود دارد که بتوانید آن را شناسایی کنید.

دلال‌های دسترسی اولیه همچنین عمداً به دنبال سیاهه‌های سرقت برای دسترسی به زیرساخت‌های فناوری اطلاعات هستند. یک دلال ممکن است یک دستگاه آلوده را به قیمت 10 دلار از روسیه مارکت خریداری، از اعتبارنامه‌ها برای دستیابی به دسترسی، افزایش امتیازات استفاده، سپس دسترسی برای فروش را در Exploit.in با قیمت‌هایی که از 20 هزار دلار شروع می‌شود، فهرست کند.

صفحات نقض اطلاعات و اخاذی باج‌افزاری

باج‌افزار آن چیزی نیست که قبلاً بود. گروه‌های باج‌افزاری در حال غیرمتمرکز شدن هستند و بسیاری از گروه‌ها کد منبع را برای باج‌افزار ارائه و کار آلوده کردن شرکت‌ها را برای کاهش پرداخت باج به شرکت‌های وابسته واگذار می‌کنند. علاوه بر این، فراگیر بودن راه‌حل‌های پشتیبان و بازیابی باعث شده که بسیاری از گروه‌ها به طور کامل رمزگذاری را کنار بگذارند و به جای آن بر تاکتیک‌های استخراج داده از جمله سرقت و افشای داده‌ها، هدف قرار دادن کارکنان یا اشخاص ثالث سازمان قربانی تمرکز کنند.

یکی دیگر از روندهای نگران کننده مجرمان سایبری، اخاذی باج‌افزاری و وبلاگ‌های نقض داده است. عوامل تهدید از این وبلاگ‌ها برای اخاذی از قربانیان با تهدید به افشای اطلاعات حساس در صورت عدم پرداخت باج استفاده می‌کنند. این تاکتیک ثابت کرده که بسیار مؤثر است، زیرا سازمان‌ها از عواقب قانونی و اعتباری بالقوه‌ای که می‌تواند ناشی از نقض داده‌ها باشد، می‌ترسند.

علاوه بر این، برخی گروه‌ها فایل‌ها را به صورت دسته‌ای منتشر و تایمرهای شمارش معکوس برای انتشار داده‌های حساس را اضافه می‌کنند و کارکنان فردی را برای افزایش فشار هدف قرار می‌دهند.

در نتیجه، بسیاری از قربانیان تصمیم به پرداخت باج می‌گیرند؛ این امر چرخه جرایم سایبری را تداوم می‌بخشد و حملات بیشتر را تشویق می‌کند.

سازمان شما احتمالاً می‌داند که قربانی باج‌افزار شده است یا خیر؛ با این حال، بسیاری از سازمان‌ها به دلیل نقض‌های شخص ثالث از قرار گرفتن در معرض داده‌ها رنج می‌برند.

با نظارت فعالانه بر وبلاگ‌های باج‌افزاری مانند لاک‌بیت (LockBit)، می‌توانید قرار گرفتن در معرض داده‌های ناخواسته از طرف اشخاص ثالث را شناسایی و به سرعت رویه‌های واکنش به حادثه را آغاز کنید.

شناسایی تهدیدات وب تاریک 

برای سازمان‌ها بسیار مهم است که بتوانند تهدیدات را در سراسر وب روشن و تاریک و کانال‌های غیرقانونی تلگرام شناسایی کنند. به دنبال راه‌حلی باشید که به راحتی در برنامه امنیتی شما ادغام شود و در یک پلتفرم اطلاعات پیشرفته‌ای از قرار گرفتن در معرض خطر بالقوه ارائه دهد.

شما می‌خواهید حامل‌های پرخطری را شناسایی کنید که می‌توانند به عاملان تهدید در دسترسی به محیط شما و نظارت مستمر بر دستگاه‌های آلوده، قرار گرفتن در معرض باج‌افزار، اسرار عمومی گیت‌هاب (GitHub)، اعتبارنامه‌های لو رفته و موارد دیگر کمک کنند.