Navne som Novelli, orangecake, Pirat-Networks, SubComandanteVPN og zirochka betyder næppe noget for langt de fleste virksomhedssikkerhedsteams. Men for ransomware-operatører og andre cyberkriminelle, der leder efter hurtig adgang til virksomhedsnetværk, var disse og mæglere at henvende sig til i en stor del af sidste år.
Tilsammen tegnede de fem enheder sig for omkring 25 % af alle adgangstilbud til virksomhedsnetværk, der var tilgængelige til salg på underjordiske fora mellem andet halvår af 2021 og første halvår af 2022. For en gennemsnitlig pris på omkring 2,800 USD var disse så- kaldet initial access brokers (IAB'er) solgte stjålne VPN- og RDP-kontooplysninger (Remote Desktop Protocol) og andre legitimationsoplysninger, som kriminelle kunne bruge til at bryde ind i mere end 2,300 organisationers netværk rundt om i verden, uden at svede.
En stor og voksende markedsplads
De fem operatører var førende på et meget større og hurtigt voksende marked med hundredvis af andre lignende IAB'er, som sikkerhedsfirmaet Group-IB opdagede, da de foretog forskning for deres 11. årsrapport om højteknologisk kriminalitet, udgivet i denne uge.
Virksomhedens undersøgelser viste en kraftig vækst fra år til år i antallet af IAB'er, der opererer i underjordiske fora og markeder - fra 262 i den umiddelbart forudgående 12-måneders periode til 380 i perioden mellem andet halvår 2021 og første halvår af 2022. Omkring 327 af de IAB'er, som Group-IB observerede i drift i denne periode, var nye poster i rummet.
Group-IB-forskere afslørede også en stigning på 41 % i antallet af lande, som kompromitterede enheder tilhørte - fra 68 et år tidligere til 96 i løbet af undersøgelsesperioden. Næsten en fjerdedel - 24% - af alle indledende adgangstilbud involverede netværk af USA-baserede organisationer. Andre lande med et relativt højt antal ofre omfattede Brasilien, Canada, Frankrig og Storbritannien.
"Efterhånden som adgangssalget fortsætter med at vokse og diversificere, er IAB'er en af de største trusler at se i 2023," advarede Dmitry Volkov, administrerende direktør for Group-IB, i en erklæring, der ledsager den nye rapport.
"Indledende adgangsmæglere spiller rollen som olieproducenter for hele den underjordiske økonomi," bemærkede han. "De giver næring til og letter operationerne for andre kriminelle, såsom ransomware og nationalstatsfjender."
"Sikkerhedsverdenens opportunistiske låsesmede"
Værdiforslaget fra IAB'er i cyberkriminalitetsøkonomien er, at de giver andre cyberkriminelle en måde at få et let fodfæste på et målnetværk, uden at de skal udføre noget benarbejde på forhånd. IAB'er udfører det tekniske arbejde med at bryde ind i et netværk og stjæle legitimationsoplysninger - såsom dem, der er forbundet med VPN'er, RDP-tjenester, Active Directory og fjernstyringspaneler - der giver efterfølgende adgang til det. Ofte kan de droppe web-skallerne på et kompromitteret netværk for at sikre vedvarende fremtidig adgang til det og derefter sælge web-skallerne. I en rapport sidste år beskrev forskere fra Googles Threat Analysis Group IAB'er som "opportunistiske låsesmede i sikkerhedsverdenen” der er specialiseret i at bryde et mål og tilbyde adgang til det til højestbydende.
Giver næring til Ransomware-økonomien
IAB'er tilbyder deres varer til alle, der er villige til at købe dem, og markedet for deres tjenester er vokset hurtigt over de seneste to år eller deromkring. Men deres største kunder på det seneste har været ransomware-operatører.
En ny undersøgelse fra trusselsefterretningsfirmaet KELA viste, at flere store ransomware-angreb involverede grupper som Hive, Sodinokibi, BlackByte og Quantum startede med netværksadgang fra en IAB. I et tilfælde medlemmer af Conti ransomware-gruppen sluttede sig til et IAB at målrette organisationer i Ukraine.
"The mest bemærkelsesværdige hændelse var relateret til angrebet på Medibank, en australsk forsikringsudbyder, som blev angrebet, efter at netværksadgang til virksomheden blev solgt på en privat Telegram-kanal,” sagde KELA.
Group-IB's forskere fandt ud af, at 70 % af de adgangstyper, som IAB'er tilbød, var RDP- og VPN-kontooplysninger. Mange af tilbuddene - 47% - involverede adgang med administratorrettigheder på det kompromitterede netværk. Otteogtyve procent af annoncerne, hvor rettighederne var specificeret, involverede domæneadministrationsrettigheder, 23 % havde standardbrugsrettigheder, og en lille del gav root-kontoadgang.
Group-IB-forskere fandt også IAB-reklamer for adgang til Citrix-miljøer, flere webpaneler til CMS og cloud-servere og web-skaller på kompromitterede systemer. I nogle tilfælde tilbød IAB'er endda at lancere laterale bevægelsesnyttelaster såsom Cobalt Strike Beacon eller Metasploit-sessioner på vegne af køberen. Men tilbud om disse legitimationsoplysninger og tjenester havde en tendens til at være mindre almindelige end dem, der involverede RDP- og VPN-legitimationsoplysninger.
Organisationer, for hvilke adgangstilbud oftest var tilgængelige i underjordiske fora og markedspladser, omfattede fremstillingsvirksomheder, finansielle servicevirksomheder, ejendomsselskaber, uddannelses- og informationsteknologivirksomheder.
Group-IB fandt, at den kraftige stigning i antallet af enheder, der opererede i IAB-området i løbet af undersøgelsesperioden, havde presset priserne ned for de fleste kategorier af indledende adgang.
Den gennemsnitlige pris på $2,800, som virksomheden observerede, var faktisk mindre end halvdelen af de $6,500, som IAB'er plejede at opkræve i gennemsnit for den samme adgang et år tidligere.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/threat-intelligence/initial-access-broker-market-booms-poses-growing-threat-to-enterprise-orgs-
- 2021
- 2022
- 2023
- 7
- a
- adgang
- Konto
- aktiv
- administration
- Efter
- Alle
- analyse
- ,
- årligt
- nogen
- tilgang
- omkring
- forbundet
- angribe
- Angreb
- australsk
- til rådighed
- gennemsnit
- beacon
- mellem
- større
- Største
- Brasilien
- Pause
- Breaking
- mægler
- mæglere
- Canada
- kategorier
- Direktør
- Kanal
- afgift
- Cloud
- cms
- Cobalt
- Fælles
- almindeligt
- Virksomheder
- selskab
- Kompromitteret
- udførelse
- Conti
- fortsæt
- kunne
- lande
- Legitimationsoplysninger
- Kriminelle
- Kunder
- cyberkriminalitet
- cyberkriminelle
- beskrevet
- desktop
- detaljer
- opdaget
- diversificere
- domæne
- ned
- Drop
- i løbet af
- tidligere
- økonomi
- Uddannelse
- sikre
- Enterprise
- virksomheds sikkerhed
- virksomheder
- enheder
- miljøer
- ejendom
- Endog
- lette
- finansielle
- finansielle tjenesteydelser
- Firm
- firmaer
- Fornavn
- fora
- fundet
- fraktion
- Fransk vin
- fra
- Brændstof
- fremtiden
- Gevinst
- Giv
- gruppe
- Gruppens
- Grow
- Dyrkning
- voksen
- Vækst
- Halvdelen
- have
- Høj
- højeste
- Hive
- HTTPS
- Hundreder
- straks
- in
- medtaget
- Forøg
- oplysninger
- informationsteknologi
- initial
- instans
- forsikring
- Intelligens
- involverede
- IT
- Efternavn
- Sidste år
- Sent
- lancere
- ledere
- leder
- større
- Flertal
- ledelse
- Produktion
- mange
- Marked
- markedspladser
- Markeder
- Medlemmer
- mere
- mest
- flere
- næsten
- netværk
- net
- Ny
- bemærkelsesværdig
- bemærkede
- nummer
- tilbyde
- tilbydes
- tilbyde
- Tilbud
- Olie
- olieproducenter
- ONE
- drift
- Produktion
- Operatører
- organisationer
- Andet
- paneler
- forbi
- procent
- periode
- plato
- Platon Data Intelligence
- PlatoData
- Leg
- tidligere
- pris
- Priser
- private
- Producenter
- proposition
- protokol
- give
- forudsat
- udbyder
- køb
- skubbet
- Quantum
- Kvarter
- Hurtig
- ransomware
- Ransomware angreb
- ægte
- fast ejendom
- relaterede
- relativt
- frigivet
- fjern
- indberette
- forskning
- forskere
- rettigheder
- roller
- rod
- Said
- salg
- salg
- samme
- Anden
- sikkerhed
- sælger
- Servere
- Tjenester
- sessioner
- flere
- skarp
- lignende
- lille
- So
- solgt
- nogle
- Space
- specialisere
- specificeret
- standard
- påbegyndt
- Statement
- stjålet
- strejke
- Studere
- efterfølgende
- sådan
- SVED
- Systemer
- mål
- hold
- Teknisk
- Teknologier
- Telegram
- verdenen
- deres
- denne uge
- trussel
- trusler
- til
- top
- typer
- Uk
- Ukraine
- brug
- værdi
- Vast
- ofre
- VPN
- VPN
- Ur
- web
- uge
- som
- WHO
- villig
- uden
- Arbejde
- world
- år
- år
- zephyrnet