Ονόματα όπως Novelli, orangecake, Pirat-Networks, SubComandanteVPN και zirochka είναι απίθανο να σημαίνουν τίποτα για τη συντριπτική πλειοψηφία των ομάδων ασφάλειας επιχειρήσεων. Αλλά για τους χειριστές ransomware και άλλους κυβερνοεγκληματίες που αναζητούν γρήγορη πρόσβαση σε εταιρικά δίκτυα, αυτά ήταν ο μεσίτες να προσεγγίσουν για ένα μεγάλο μέρος του περασμένου έτους.
Μεταξύ τους, οι πέντε οντότητες αντιπροσώπευαν περίπου το 25% όλων των προσφορών πρόσβασης σε εταιρικά δίκτυα που ήταν διαθέσιμα προς πώληση σε υπόγεια φόρουμ μεταξύ του δεύτερου εξαμήνου του 2021 και του πρώτου εξαμήνου του 2022. Για μέση τιμή περίπου 2,800 $, Οι λεγόμενοι μεσίτες αρχικής πρόσβασης (IABs) πούλησαν στοιχεία λογαριασμού κλεμμένων VPN και πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP) και άλλα διαπιστευτήρια που οι εγκληματίες θα μπορούσαν να χρησιμοποιήσουν για να εισβάλουν στα δίκτυα περισσότερων από 2,300 οργανισμών σε όλο τον κόσμο, χωρίς να ιδρώσουν.
Μια τεράστια και αναπτυσσόμενη αγορά
Οι πέντε χειριστές ήταν οι ηγέτες σε μια πολύ μεγαλύτερη και ταχέως αναπτυσσόμενη αγορά εκατοντάδων άλλων παρόμοιων IAB που ανακάλυψε η εταιρεία ασφαλείας Group-IB όταν διεξήγαγε έρευνα για την 11η ετήσια έκθεση για το έγκλημα υψηλής τεχνολογίας, κυκλοφόρησε αυτήν την εβδομάδα.
Η έρευνα της εταιρείας έδειξε απότομη αύξηση από έτος σε έτος στον αριθμό των IAB που δραστηριοποιούνται σε υπόγεια φόρουμ και αγορές — από 262 το αμέσως προηγούμενο 12μηνο σε 380 την περίοδο μεταξύ του δεύτερου εξαμήνου του 2021 και του πρώτου εξαμήνου του 2022. Περίπου 327 από τα IAB που παρατήρησε ο Όμιλος-IB ότι λειτουργούσαν κατά τη διάρκεια αυτής της περιόδου ήταν νέες εγγραφές στον χώρο.
Οι ερευνητές του Group-IB αποκάλυψαν επίσης μια αύξηση 41% στον αριθμό των χωρών στις οποίες ανήκαν οι παραβιασμένες οντότητες — από 68 ένα χρόνο νωρίτερα σε 96 κατά την περίοδο της μελέτης τους. Σχεδόν το ένα τέταρτο — το 24% — όλων των αρχικών προσφορών πρόσβασης αφορούσαν τα δίκτυα οργανισμών που εδρεύουν στις ΗΠΑ. Άλλες χώρες με σχετικά υψηλό αριθμό θυμάτων ήταν η Βραζιλία, ο Καναδάς, η Γαλλία και το Ηνωμένο Βασίλειο.
«Καθώς οι πωλήσεις πρόσβασης συνεχίζουν να αυξάνονται και να διαφοροποιούνται, τα IABs είναι μία από τις κορυφαίες απειλές για παρακολούθηση το 2023», προειδοποίησε ο Ντμίτρι Βόλκοφ, Διευθύνων Σύμβουλος της Group-IB, σε δήλωση που συνοδεύει τη νέα έκθεση.
«Οι μεσίτες αρχικής πρόσβασης παίζουν το ρόλο των παραγωγών πετρελαίου για ολόκληρη την παραοικονομία», σημείωσε. «Τροφοδοτούν και διευκολύνουν τις επιχειρήσεις άλλων εγκληματιών, όπως ransomware και αντιπάλους εθνικών κρατών».
«Ευκαιρικοί Κλειδαράς του Κόσμου της Ασφάλειας»
Η πρόταση αξίας των IABs στην οικονομία του εγκλήματος στον κυβερνοχώρο είναι ότι δίνουν σε άλλους εγκληματίες στον κυβερνοχώρο έναν τρόπο να αποκτήσουν εύκολη βάση σε ένα δίκτυο-στόχο χωρίς να χρειάζεται να κάνουν κάποια εργασία εκ των προτέρων. Τα IAB εκτελούν την τεχνική εργασία της εισβολής σε ένα δίκτυο και της κλοπής διαπιστευτηρίων — όπως αυτά που σχετίζονται με VPN, υπηρεσίες RDP, Active Directory και πίνακες απομακρυσμένης διαχείρισης — που παρέχουν μετέπειτα πρόσβαση σε αυτό. Συχνά, μπορούν να ρίξουν κελύφη Ιστού σε ένα παραβιασμένο δίκτυο για να εξασφαλίσουν μόνιμη μελλοντική πρόσβαση σε αυτό και στη συνέχεια να πουλήσουν τα κελύφη Ιστού. Σε μια έκθεση πέρυσι, ερευνητές από την ομάδα ανάλυσης απειλών της Google περιέγραψαν τα IAB ως «καιροσκοπικοί κλειδαράδες του κόσμου της ασφάλειας» που ειδικεύονται στην παραβίαση ενός στόχου και στην προσφορά πρόσβασης σε αυτόν στον πλειοδότη.
Τροφοδοτώντας την οικονομία του Ransomware
Τα IAB προσφέρουν τα προϊόντα τους σε οποιονδήποτε επιθυμεί να τα αγοράσει και στην αγορά για τις υπηρεσίες τους έχει αυξηθεί ραγδαία τα τελευταία δύο χρόνια περίπου. Αλλά οι μεγαλύτεροι πελάτες τους τελευταία ήταν οι χειριστές ransomware.
Μια νέα μελέτη από την εταιρεία πληροφοριών απειλών KELA έδειξε ότι αρκετές σημαντικές επιθέσεις ransomware που αφορούσαν ομάδες όπως οι Hive, Sodinokibi, BlackByte και Quantum ξεκίνησαν με πρόσβαση στο δίκτυο από ένα IAB. Σε μια περίπτωση, μέλη της ομάδας ransomware Conti εντάχθηκε σε ένα IAB στόχευση οργανισμών στην Ουκρανία.
"Ο πιο αξιοσημείωτο περιστατικό σχετιζόταν με την επίθεση στη Medibank, έναν αυστραλιανό ασφαλιστικό πάροχο, η οποία δέχθηκε επίθεση μετά την πώληση της πρόσβασης στο δίκτυο στην εταιρεία σε ιδιωτικό κανάλι Telegram», ανέφερε η KELA.
Οι ερευνητές του Group-IB διαπίστωσαν ότι το 70% των τύπων πρόσβασης που πρόσφεραν τα IAB ήταν στοιχεία λογαριασμού RDP και VPN. Πολλές από τις προσφορές — το 47% — αφορούσαν πρόσβαση με δικαιώματα διαχειριστή στο παραβιασμένο δίκτυο. Το είκοσι οκτώ τοις εκατό των διαφημίσεων στις οποίες προσδιορίζονταν δικαιώματα αφορούσαν δικαιώματα διαχείρισης τομέα, το 23% είχε δικαιώματα τυπικής χρήσης και ένα μικρό μέρος παρείχε πρόσβαση σε λογαριασμό root.
Οι ερευνητές του Group-IB βρήκαν επίσης διαφημίσεις IAB για πρόσβαση σε περιβάλλοντα Citrix, πολλαπλούς πίνακες Ιστού για διακομιστές CMS και cloud και κελύφη Ιστού σε παραβιασμένα συστήματα. Σε ορισμένες περιπτώσεις, τα IAB προσφέρθηκαν ακόμη και να ξεκινήσουν ωφέλιμα φορτία πλευρικής κίνησης, όπως συνεδρίες Cobalt Strike Beacon ή Metasploit για λογαριασμό του αγοραστή. Ωστόσο, οι προσφορές για αυτά τα διαπιστευτήρια και υπηρεσίες έτειναν να είναι λιγότερο κοινές από εκείνες που αφορούν διαπιστευτήρια RDP και VPN.
Οι οργανισμοί για τους οποίους οι προσφορές πρόσβασης ήταν πιο συχνά διαθέσιμες σε υπόγεια φόρουμ και αγορές περιελάμβαναν κατασκευαστικές εταιρείες, εταιρείες χρηματοοικονομικών υπηρεσιών, οργανισμούς ακινήτων, εταιρείες εκπαίδευσης και τεχνολογίας πληροφοριών.
Η Group-IB διαπίστωσε ότι η απότομη αύξηση του αριθμού των οντοτήτων που δραστηριοποιούνται στο χώρο της IAB κατά την περίοδο της μελέτης του είχε ωθήσει προς τα κάτω τις τιμές για τις περισσότερες κατηγορίες αρχικής πρόσβασης.
Η μέση τιμή των 2,800 δολαρίων που παρατήρησε η εταιρεία ήταν, στην πραγματικότητα, λιγότερο από τα μισά από τα 6,500 δολάρια που χρέωναν οι IAB κατά μέσο όρο για την ίδια πρόσβαση ένα χρόνο νωρίτερα.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/threat-intelligence/initial-access-broker-market-booms-poses-growing-threat-to-enterprise-orgs-
- 2021
- 2022
- 2023
- 7
- a
- πρόσβαση
- Λογαριασμός
- ενεργός
- διαχείριση
- Μετά το
- Όλα
- ανάλυση
- και
- ετήσιος
- κάποιος
- πλησιάζω
- γύρω
- συσχετισμένη
- επίθεση
- Επιθέσεις
- Αυστραλός
- διαθέσιμος
- μέσος
- φάρος
- μεταξύ
- μεγαλύτερος
- Μεγαλύτερη
- Βραζιλία
- Διακοπή
- Σπάζοντας
- μεσίτης
- μεσίτες
- Canada
- κατηγορίες
- Διευθύνων Σύμβουλος
- Κανάλι
- χρέωση
- Backup
- εκατοστά
- Κοβάλτιο
- Κοινός
- συνήθως
- Εταιρείες
- εταίρα
- Συμβιβασμένος
- Διεξαγωγή
- Conti
- ΣΥΝΕΧΕΙΑ
- θα μπορούσε να
- χώρες
- Διαπιστεύσεις
- Εγκληματίες
- Πελάτες
- εγκλήματος στον κυβερνοχώρο
- εγκληματίες του κυβερνοχώρου
- περιγράφεται
- επιφάνεια εργασίας
- καθέκαστα
- ανακάλυψαν
- ποικίλλω
- τομέα
- κάτω
- Πτώση
- κατά την διάρκεια
- Νωρίτερα
- οικονομία
- Εκπαίδευση
- εξασφαλίζω
- Εταιρεία
- επιχειρηματική ασφάλεια
- επιχειρήσεις
- οντότητες
- περιβάλλοντα
- περιουσία
- Even
- διευκολύνω
- οικονομικός
- των χρηματοπιστωτικών υπηρεσιών
- Εταιρεία
- επιχειρήσεις
- Όνομα
- φόρουμ
- Βρέθηκαν
- κλάσμα
- Γαλλία
- από
- Καύσιμα
- μελλοντικός
- Κέρδος
- Δώστε
- Group
- Ομάδα
- Grow
- Μεγαλώνοντας
- καλλιεργούνται
- Ανάπτυξη
- Ήμισυ
- που έχει
- Ψηλά
- υψηλότερο
- Κυψέλη
- HTTPS
- Εκατοντάδες
- αμέσως
- in
- περιλαμβάνονται
- Αυξάνουν
- πληροφορίες
- της τεχνολογίας των πληροφοριών
- αρχικός
- παράδειγμα
- ασφάλιση
- Νοημοσύνη
- συμμετέχουν
- IT
- Επίθετο
- Πέρυσι
- Αργά
- ξεκινήσει
- ηγέτες
- κοιτάζοντας
- μεγάλες
- Η πλειοψηφία
- διαχείριση
- κατασκευής
- πολοί
- αγορά
- αγορές
- αγορές
- Μέλη
- περισσότερο
- πλέον
- πολλαπλούς
- σχεδόν
- δίκτυο
- δίκτυα
- Νέα
- αξιοσημείωτο
- Σημειώνεται
- αριθμός
- προσφορά
- προσφέρονται
- προσφορά
- προσφορές
- Πετρέλαιο
- παραγωγούς πετρελαίου
- ONE
- λειτουργίας
- λειτουργίες
- φορείς
- οργανώσεις
- ΑΛΛΑ
- πάνελ
- Το παρελθόν
- τοις εκατό
- περίοδος
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Δοκιμάστε να παίξετε
- προηγουμένως
- τιμή
- Τιμές
- ιδιωτικός
- Παραγωγούς
- πρόταση
- πρωτόκολλο
- παρέχουν
- παρέχεται
- προμηθευτής
- αγορά
- πίεσε
- Quantum
- Τέταρτο
- Γρήγορα
- ransomware
- Επιθέσεις Ransomware
- πραγματικός
- ακίνητα
- σχετίζεται με
- σχετικά
- κυκλοφόρησε
- μακρινός
- αναφέρουν
- έρευνα
- ερευνητές
- δικαιώματα
- Ρόλος
- ρίζα
- Είπε
- πώληση
- εμπορικός
- ίδιο
- Δεύτερος
- ασφάλεια
- πωλούν
- Διακομιστές
- Υπηρεσίες
- συνεδρίες
- διάφοροι
- αιχμηρά
- παρόμοιες
- small
- So
- πωλούνται
- μερικοί
- Χώρος
- ειδικεύομαι
- καθορίζεται
- πρότυπο
- ξεκίνησε
- Δήλωση
- κλαπεί
- απεργία
- Μελέτη
- μεταγενέστερος
- τέτοιος
- ΙΔΡΩΤΑΣ
- συστήματα
- στόχος
- ομάδες
- Τεχνικός
- Τεχνολογία
- Telegram
- Η
- ο κόσμος
- τους
- αυτή την εβδομάδα
- απειλή
- απειλές
- προς την
- κορυφή
- τύποι
- Uk
- Ukraine
- χρήση
- αξία
- Σταθερή
- θύματα
- VPN
- VPN
- Δες
- ιστός
- εβδομάδα
- Ποιό
- Ο ΟΠΟΊΟΣ
- πρόθυμος
- χωρίς
- Εργασία
- κόσμος
- έτος
- χρόνια
- zephyrnet