Platformy te czerpią wskazówki dotyczące sposobu ich projektowania i promowania na podstawie legalnych usług informacyjnych i e-commerce. Wiele rynków i forów pobiera opłatę subskrypcyjną za dostęp do platformy, a następnie stosuje różne struktury cenowe za dane w zależności od ich wartości. Obecnie, jak twierdzi Gray, na rynku rosyjskim dostępnych jest tak dużo skradzionych danych od złodziei informacji, że pobiera się niską zryczałtowaną stawkę, zwykle nie wyższą niż 10 dolarów, za dowolny podzbiór danych, które użytkownicy chcą pobrać.
„Organizacje bardzo dobrze radzą sobie z bezpieczeństwem, a ludzie stali się bardziej doświadczeni, więc nie są teraz najlepszymi celami” – mówi Gray w przypadku tradycyjnych ataków dostosowanych do indywidualnych potrzeb. „Dlatego napastnicy potrzebują czegoś mniej ukierunkowanego i bardziej opartego na tym, z czego mogą skorzystać. Złodzieje informacji mają charakter modułowy i często są sprzedawane na zasadzie subskrypcji, a ewolucja ta prawdopodobnie wiąże się z rozwojem nowoczesnych usług subskrypcyjnych, takich jak strumieniowe przesyłanie wideo.
Złodzieje informacji okazali się szczególnie skuteczni w obliczu wzrostu liczby pracy zdalnej i pracy hybrydowej, ponieważ firmy dostosowują się do umożliwienia pracownikom dostępu do usług służbowych z urządzeń osobistych i kont osobistych z urządzeń służbowych. Stwarza to możliwości kradzieży informacji w celu losowego narażenia na szwank konkretnych osób, powiedzmy, na ich komputerach domowych, ale mimo to uzyskują dostęp do firmowych danych uwierzytelniających, ponieważ dana osoba była również zalogowana do niektórych z ich systemów służbowych. Ułatwia to także złośliwemu oprogramowaniu kradnącemu informacje obejście zabezpieczeń korporacyjnych, nawet na urządzeniach korporacyjnych, jeśli pracownicy mogą mieć otwarte swoje osobiste konta e-mail lub media społecznościowe.
„Zacząłem zwracać na to uwagę, gdy stało się to problemem w przedsiębiorstwie” – mówi Carmakal z Mandiant. „Szczególnie około 2020 r., ponieważ zacząłem widzieć więcej włamań do przedsiębiorstw, zaczynając od włamań do komputerów domowych — poprzez phishing na konta Yahoo, konta Gmail i konta Hotmail, które były całkowicie niezwiązane z jakimkolwiek kierowaniem na przedsiębiorstwa, ale moim zdaniem wyglądały bardzo oportunistycznie .”
Victoria Kivilevich, dyrektor ds. badań nad zagrożeniami w firmie KELA zajmującej się bezpieczeństwem, twierdzi, że w niektórych przypadkach przestępcy mogą wykorzystywać rynki cyberprzestępczości do wyszukiwania domeny potencjalnych celów i sprawdzania, czy dostępne są jakiekolwiek dane uwierzytelniające. Kivilevich twierdzi, że sprzedaż danych pochodzących od osób kradnących informacje można uznać za „łańcuch dostaw” dla różnego rodzaju cyberataków, w tym dla operatorów oprogramowania ransomware szukających szczegółów potencjalnych ofiar, osób zaangażowanych w włamanie na firmową pocztę e-mail, a nawet brokerów pierwszego dostępu, którzy mogą sprzedać szczegóły wraz z innymi cyberprzestępcami.
Kivilevich twierdzi, że na różnych platformach cyberprzestępczych i na Telegramie doszło do ponad 7 000 naruszonych danych uwierzytelniających powiązanych z udostępnianymi kontami Snowflake. W jednym przypadku przestępca reklamował dostęp do 41 firm z sektora edukacyjnego; Z analizy Kivilevich wynika, że inny cyberprzestępca twierdzi, że sprzedaje dostęp amerykańskim firmom o przychodach od 50 mln do 8 miliardów dolarów.
„Nie sądzę, żeby była choć jedna firma, która przyszła do nas i której żadne konto nie zostało naruszone przez złośliwe oprogramowanie kradnące informacje” – Kivilevich mówi o zagrożeniu, jakie dzienniki kradzieży informacji stanowią dla firm, a KELA twierdzi, że wzrosła aktywność związana z kradzieżą informacji w 2023 r. Irina Nesterovsky, dyrektor ds. badań w firmie KELA, twierdzi, że w ostatnich latach w wyniku kradzieży informacji złośliwego oprogramowania zebrano miliony danych uwierzytelniających. „To realne zagrożenie” – mówi Niestierowski.
Carmakal twierdzi, że firmy i osoby fizyczne mogą podjąć wiele kroków, aby chronić się przed zagrożeniem ze strony kradnących informacje i ich następstwami, w tym za pomocą produktów antywirusowych lub EDR do wykrywania złośliwej aktywności. Jego zdaniem firmy powinny rygorystycznie egzekwować uwierzytelnianie wielopoziomowe wśród swoich użytkowników. „Staramy się zachęcać ludzi, aby nie synchronizowali haseł na urządzeniach firmowych z urządzeniami osobistymi” – dodaje Carmakal.
Wykorzystywanie kradzieży informacji sprawdza się tak dobrze, że niemal nieuniknione jest, że cyberprzestępcy będą chcieli powtórzyć sukces szaleństw kompromisowych, takich jak Snowflake, i wykazać się kreatywnością w zakresie innych usług oprogramowania dla przedsiębiorstw, które mogą wykorzystać jako punkty dostępu do szeregu różnych firmy klientów. Carmakal ostrzega, że spodziewa się, że w nadchodzących miesiącach będzie to skutkować większą liczbą naruszeń. „Nie ma co do tego żadnych dwuznaczności” – mówi. „Osoby atakujące zaczną polować na dzienniki osób kradnących informacje i szukać innych dostawców SaaS, podobnych do Snowflake, gdzie logują się i kradną dane, a następnie wyłudzają te firmy”.
