Нове дослідження виявило тривожну тенденцію в світі кібербезпеки: зловмисники здатні розробляти та публікувати в даркнеті експлойти для критичних вразливостей менш ніж за тиждень після їх виявлення. Це значно скорочує час реакції для організацій, які прагнуть захистити свої системи від потенційних атак.
Швидкість розробки експлойтів
Згідно з дослідженням, проведеним аналітиками Positive Technologies, PoC-експлойт (Proof of Concept) для критичної вразливості стає доступним в середньому через шість днів після публікації інформації про неї. Для некритичних вразливостей цей термін збільшується до тижня. Ці дані підкреслюють необхідність швидкого реагування на нові вразливості з боку фахівців з кібербезпеки.
Методологія дослідження
Аналітики вивчили понад 51 мільйон повідомлень за 2022-2023 роки, розміщених у 217 Telegram-каналах та форумах даркнету. Повідомлення були написані російською, англійською та китайською мовами, що забезпечило широке охоплення глобальної кіберзлочинної спільноти.
Найбільш обговорювані вразливості
Дослідження виявило, що найчастіше кіберзлочинці обговорювали вразливості в таких продуктах:
- WinRAR (CVE-2023-38831)
- Продукти Fortinet (CVE-2022-40684)
- Java-фреймворк Spring Framework (CVE-2022-22965)
- Linux (CVE-2022-0847)
- Microsoft Support Diagnostic Tool (CVE-2022-30190)
Примітно, що 70% обговорюваних вразливостей мали мережевий вектор атаки, що підкреслює важливість захисту мережевої інфраструктури.
Життєвий цикл вразливості в даркнеті
Дослідження також виявило типовий життєвий цикл обговорення вразливостей у даркнеті:
- Публікація інформації про вразливість
- Поява PoC-експлойту (через 6 днів для критичних вразливостей)
- Початок обговорень на спеціалізованих площадках даркнету (через 5 днів після появи PoC)
Експерти відзначають, що тривалість обговорення прямо пропорційна ймовірності розробки “бойових” експлойтів, призначених для реального застосування в атаках.
Характер обговорень у даркнеті
Аналіз показав, що переважна більшість повідомлень у даркнеті (92%) стосується обговорення публічних версій PoC-експлойтів. Лише 8% повідомлень пов’язані з купівлею або продажем експлойтів для проведення реальних атак. Це свідчить про те, що більшість кіберзлочинців зосереджені на вивченні та адаптації існуючих експлойтів, а не на розробці нових.
Результати цього дослідження підкреслюють критичну важливість своєчасного виявлення та усунення вразливостей. Організаціям рекомендується впроваджувати автоматизовані системи моніторингу вразливостей та оперативно застосовувати оновлення безпеки. Крім того, важливо регулярно проводити тестування на проникнення та навчання персоналу з питань кібербезпеки для мінімізації ризиків успішних атак.