Namen wie Novelli, Orangecake, Pirat-Networks, SubComandanteVPN und Zirochka werden der großen Mehrheit der Sicherheitsteams von Unternehmen wahrscheinlich nichts sagen. Aber für Ransomware-Betreiber und andere Cyberkriminelle, die nach schnellem Zugriff auf Unternehmensnetzwerke suchen, waren diese Makler, die sich für einen Großteil des letzten Jahres nähern.
Zusammen machten die fünf Einheiten rund 25 % aller Zugangsangebote zu Unternehmensnetzwerken aus, die zwischen der zweiten Hälfte des Jahres 2021 und der ersten Hälfte des Jahres 2022 in Untergrundforen zum Verkauf angeboten wurden. sogenannte Initial Access Brokers (IABs) verkauften gestohlene VPN- und Remote Desktop Protocol (RDP)-Kontodaten und andere Zugangsdaten, mit denen Kriminelle in die Netzwerke von mehr als 2,800 Organisationen auf der ganzen Welt eindringen konnten, ohne ins Schwitzen zu geraten.
Ein riesiger und wachsender Marktplatz
Die fünf Betreiber waren führend in einem viel größeren und schnell wachsenden Markt mit Hunderten anderer ähnlicher IABs, die das Sicherheitsunternehmen Group-IB bei der Durchführung von Recherchen für sich entdeckte 11. Jahresbericht zur Hightech-Kriminalität, diese Woche veröffentlicht.
Die Untersuchungen des Unternehmens zeigten im Jahresvergleich ein starkes Wachstum der Zahl der IABs, die in Untergrundforen und -märkten tätig sind – von 262 in den unmittelbar vorangegangenen 12 Monaten auf 380 im Zeitraum zwischen der zweiten Hälfte des Jahres 2021 und der ersten Hälfte des Jahres 2022. Etwa 327 der IABs, die Group-IB in diesem Zeitraum beim Betrieb beobachtete, waren Neueintritte in den Weltraum.
Die Forscher der Group-IB entdeckten auch einen Anstieg der Zahl der Länder, denen kompromittierte Unternehmen angehörten, um 41 % – von 68 ein Jahr zuvor auf 96 im Untersuchungszeitraum. Fast ein Viertel – 24 % – aller Erstzugangsangebote betrafen die Netzwerke von in den USA ansässigen Organisationen. Andere Länder mit einer relativ hohen Zahl von Opfern waren Brasilien, Kanada, Frankreich und das Vereinigte Königreich.
„Da die Zugriffsverkäufe weiter wachsen und sich diversifizieren, sind IABs eine der größten Bedrohungen, die es im Jahr 2023 zu beobachten gilt“, warnte Dmitry Volkov, CEO von Group-IB, in einer Erklärung, die den neuen Bericht begleitet.
„Erstzugangsmakler spielen die Rolle von Ölproduzenten für die gesamte Schattenwirtschaft“, bemerkte er. „Sie fördern und erleichtern die Operationen anderer Krimineller wie Ransomware und nationalstaatliche Gegner.“
„Opportunistische Schlosser der Sicherheitswelt“
Das Wertversprechen von IABs in der Wirtschaft der Cyberkriminalität besteht darin, dass sie anderen Cyberkriminellen die Möglichkeit geben, in einem Zielnetzwerk Fuß zu fassen, ohne dass sie im Voraus Vorarbeit leisten müssen. IABs erledigen die technische Arbeit, in ein Netzwerk einzudringen und Anmeldeinformationen zu stehlen – beispielsweise solche, die mit VPNs, RDP-Diensten, Active Directory und Remote-Management-Panels verbunden sind – die anschließenden Zugriff darauf ermöglichen. Oft können sie Web-Shells in einem kompromittierten Netzwerk ablegen, um einen dauerhaften zukünftigen Zugriff darauf sicherzustellen, und dann die Web-Shells verkaufen. In einem Bericht vom letzten Jahr beschrieben Forscher der Threat Analysis Group von Google IABs als die „opportunistische Schlosser der Sicherheitswelt“, die darauf spezialisiert sind, ein Ziel zu durchbrechen und dem Höchstbietenden Zugang dazu zu gewähren.
Ankurbelung der Ransomware-Ökonomie
IABs bieten ihre Waren jedem an, der bereit ist, sie zu kaufen, und den Markt für ihre Dienstleistungen ist schnell gewachsen in den letzten zwei Jahren oder so. Aber ihre größten Kunden waren in letzter Zeit Ransomware-Betreiber.
Eine neue Studie des Threat-Intelligence-Unternehmens KELA zeigte, dass mehrere große Ransomware-Angriffe, an denen Gruppen wie Hive, Sodinokibi, BlackByte und Quantum beteiligt waren, mit einem Netzwerkzugriff von einem IAB aus begannen. In einem Fall Mitglieder der Conti-Ransomware-Gruppe einem IAB beigetreten auf Organisationen in der Ukraine abzielen.
"The bemerkenswertester Vorfall stand im Zusammenhang mit dem Angriff auf Medibank, einen australischen Versicherungsanbieter, der angegriffen wurde, nachdem der Netzwerkzugang an das Unternehmen auf einem privaten Telegram-Kanal verkauft worden war“, sagte KELA.
Die Forscher von Group-IB fanden heraus, dass 70 % der von IABs angebotenen Zugangsarten RDP- und VPN-Kontodetails waren. Viele der Angebote – 47 % – betrafen den Zugriff mit Administratorrechten auf das kompromittierte Netzwerk. Achtundzwanzig Prozent der Anzeigen, in denen Rechte angegeben wurden, betrafen Domain-Administrationsrechte, 23 Prozent hatten Standardnutzungsrechte und ein kleiner Teil bot Root-Account-Zugriff.
Forscher der Group-IB fanden auch IAB-Anzeigen für den Zugriff auf Citrix-Umgebungen, mehrere Web-Panels für CMS- und Cloud-Server und Web-Shells auf kompromittierten Systemen. In einigen Fällen boten IABs sogar an, Nutzlasten mit seitlicher Bewegung wie Cobalt Strike Beacon oder Metasploit-Sitzungen im Namen des Käufers zu starten. Angebote für diese Anmeldeinformationen und Dienste waren jedoch tendenziell weniger verbreitet als solche mit RDP- und VPN-Anmeldeinformationen.
Zu den Organisationen, für die Zugangsangebote am häufigsten in Untergrundforen und Marktplätzen verfügbar waren, gehörten Fertigungsunternehmen, Finanzdienstleistungsunternehmen, Immobilienorganisationen, Bildungs- und Informationstechnologieunternehmen.
Group-IB stellte fest, dass der starke Anstieg der Zahl der im IAB-Bereich tätigen Unternehmen während des Untersuchungszeitraums die Preise für die meisten Kategorien des Erstzugangs nach unten gedrückt hatte.
Der Durchschnittspreis von 2,800 US-Dollar, den das Unternehmen beobachtete, war tatsächlich weniger als die Hälfte der 6,500 US-Dollar, die IABs ein Jahr zuvor im Durchschnitt für denselben Zugang verlangt hatten.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://www.darkreading.com/threat-intelligence/initial-access-broker-market-booms-poses-growing-threat-to-enterprise-orgs-
- 2021
- 2022
- 2023
- 7
- a
- Zugang
- Konto
- aktiv
- Verwaltung
- Nach der
- Alle
- Analyse
- und
- jährlich
- jemand
- Ansatz
- um
- damit verbundenen
- Attacke
- Anschläge
- australisch
- verfügbar
- durchschnittlich
- Leuchtfeuer
- zwischen
- größer
- Größte
- Brasil
- Break
- Bruch
- Makler
- Broker
- Kanada
- Kategorien
- CEO
- Kanal
- berechnen
- Cloud
- cms
- Cobalt
- gemeinsam
- häufig
- Unternehmen
- Unternehmen
- Kompromittiert
- Leitung
- Conti
- fortsetzen
- könnte
- Länder
- Referenzen
- Criminals
- Kunden
- Cyber-Kriminalität
- Cyber-Kriminelle
- beschrieben
- Desktop
- Details
- entdeckt
- variieren
- Domain
- nach unten
- Drop
- im
- Früher
- Wirtschaft
- Bildungswesen
- gewährleisten
- Unternehmen
- Unternehmenssicherheit
- Unternehmen
- Entitäten
- Umgebungen
- Sommer
- Sogar
- erleichtern
- Revolution
- Finanzdienstleistungen
- Fest
- Firmen
- Vorname
- Foren
- gefunden
- Fraktion
- Frankreich
- für
- Treibstoff
- Zukunft
- Gewinnen
- ABSICHT
- Gruppe an
- Gruppen
- Wachsen Sie über sich hinaus
- persönlichem Wachstum
- gewachsen
- Wachstum
- Hälfte
- mit
- High
- höchste
- Bienenstock
- HTTPS
- hunderte
- sofort
- in
- inklusive
- Erhöhung
- Information
- Informatik
- Anfangs-
- Instanz
- Versicherung
- Intelligenz
- beteiligt
- IT
- Nachname
- Letztes Jahr
- Spät
- starten
- Führung
- suchen
- Dur
- Mehrheit
- Management
- Herstellung
- viele
- Markt
- Markt
- Märkte
- Mitglieder
- mehr
- vor allem warme
- mehrere
- fast
- Netzwerk
- Netzwerke
- Neu
- bemerkenswert
- bekannt
- Anzahl
- bieten
- angeboten
- bieten
- Angebote
- ÖL
- Ölproduzenten
- EINEM
- die
- Einkauf & Prozesse
- Betreiber
- Organisationen
- Andere
- Platten
- passt
- Prozent
- Zeit
- Plato
- Datenintelligenz von Plato
- PlatoData
- Play
- vorher
- Preis
- Preise
- privat
- Producers
- Vorschlag
- Protokoll
- die
- vorausgesetzt
- Versorger
- Kauf
- geschoben
- Quant
- Quartal
- Direkt
- Ransomware
- Ransomware-Angriffe
- echt
- Immobilien
- bezogene
- verhältnismäßig
- freigegeben
- entfernt
- berichten
- Forschungsprojekte
- Forscher
- Rechte
- Rollen
- Wurzel
- Said
- Salz
- Vertrieb
- gleich
- Zweite
- Sicherheitdienst
- verkaufen
- Fertige Server
- Leistungen
- Sessions
- mehrere
- scharf
- ähnlich
- klein
- So
- verkauft
- einige
- Raumfahrt
- spezialisieren
- angegeben
- Standard
- begonnen
- Erklärung
- gestohlen
- Streik
- Studie
- Folge
- so
- SWEAT
- Systeme und Techniken
- Target
- Teams
- Technische
- Technologie
- Telegram
- Das
- die Welt
- ihr
- diese Woche
- Bedrohung
- Bedrohungen
- zu
- Top
- Typen
- Uk
- Ukraine
- -
- Wert
- riesig
- Opfer
- VPN
- VPNs
- Ansehen
- Netz
- Woche
- welche
- WHO
- bereit
- ohne
- Arbeiten
- weltweit wie ausgehandelt und gekauft ausgeführt wird.
- Jahr
- Jahr
- Zephyrnet