Des noms tels que Novelli, orangecake, Pirat-Networks, SubComandanteVPN et zirochka ne signifient probablement rien pour la grande majorité des équipes de sécurité des entreprises. Mais pour les opérateurs de rançongiciels et autres cybercriminels à la recherche d'un accès rapide aux réseaux d'entreprise, il s'agissait le courtiers à approcher pendant une grande partie de l'année dernière.
À elles deux, les cinq entités représentaient environ 25 % de toutes les offres d'accès aux réseaux d'entreprise qui étaient disponibles à la vente sur les forums clandestins entre le second semestre 2021 et le premier semestre 2022. Pour un prix moyen d'environ 2,800 2,300 $, ces so- appelés courtiers d'accès initial (IAB) ont vendu des détails de compte VPN et de protocole de bureau à distance (RDP) volés et d'autres informations d'identification que les criminels pourraient utiliser pour s'introduire dans les réseaux de plus de XNUMX XNUMX organisations à travers le monde, sans transpirer.
Un marché vaste et en pleine croissance
Les cinq opérateurs étaient les leaders sur un marché beaucoup plus vaste et en croissance rapide de centaines d'autres IAB similaires que la société de sécurité Group-IB a découverts lors de recherches pour son 11e rapport annuel sur la criminalité high-tech, sorti cette semaine.
Les recherches de la société ont montré une forte croissance d'une année sur l'autre du nombre d'IAB opérant dans des forums et des marchés clandestins - de 262 au cours de la période de 12 mois immédiatement précédente à 380 dans la période entre le second semestre 2021 et le premier semestre de 2022. Quelque 327 des IAB observés par le Groupe-IB pendant cette période étaient de nouvelles entrées dans l'espace.
Les chercheurs du groupe IB ont également découvert une augmentation de 41 % du nombre de pays auxquels appartenaient les entités compromises – de 68 un an plus tôt à 96 sur la période de son étude. Près d'un quart - 24% - de toutes les offres d'accès initiales impliquaient les réseaux d'organisations basées aux États-Unis. Parmi les autres pays comptant un nombre relativement élevé de victimes, citons le Brésil, le Canada, la France et le Royaume-Uni.
"Alors que les ventes d'accès continuent de croître et de se diversifier, les IAB sont l'une des principales menaces à surveiller en 2023", a averti Dmitry Volkov, PDG de Group-IB, dans un communiqué accompagnant le nouveau rapport.
"Les courtiers en accès initial jouent le rôle de producteurs de pétrole pour toute l'économie souterraine", a-t-il noté. "Ils alimentent et facilitent les opérations d'autres criminels, tels que les rançongiciels et les adversaires des États-nations."
"Serruriers opportunistes du monde de la sécurité"
La proposition de valeur des IAB dans l'économie de la cybercriminalité est qu'ils offrent aux autres cybercriminels un moyen de s'implanter facilement sur un réseau cible sans qu'ils aient à faire de démarches préalables. Les IAB effectuent le travail technique consistant à pénétrer dans un réseau et à voler les informations d'identification - telles que celles associées aux VPN, aux services RDP, à Active Directory et aux panneaux de gestion à distance - qui fournissent un accès ultérieur à celui-ci. Souvent, ils peuvent déposer des shells Web sur un réseau compromis pour garantir un accès futur persistant à celui-ci, puis vendre les shells Web. Dans un rapport de l'année dernière, des chercheurs du groupe d'analyse des menaces de Google ont décrit les IAB comme le "serruriers opportunistes du monde de la sécurité” qui se spécialisent dans le franchissement d'une cible et en offrent l'accès au plus offrant.
Alimenter l'économie des ransomwares
Les IAB offrent leurs marchandises à toute personne désireuse de les acheter, et le marché pour leurs services a grandi rapidement au cours des deux dernières années environ. Mais leurs plus gros clients ces derniers temps sont les opérateurs de ransomwares.
Une nouvelle étude de la société de renseignement sur les menaces KELA a montré que plusieurs attaques majeures de ransomwares impliquant des groupes tels que Hive, Sodinokibi, BlackByte et Quantum ont commencé par un accès réseau à partir d'un IAB. Dans un cas, des membres du groupe de rançongiciels Conti rejoint un IAB pour cibler des organisations en Ukraine.
« Le incident le plus notable était lié à l'attaque contre Medibank, un assureur australien, qui a été attaqué après que l'accès au réseau de l'entreprise a été vendu sur une chaîne privée Telegram », a déclaré KELA.
Les chercheurs de Group-IB ont découvert que 70 % des types d'accès proposés par les IAB étaient des détails de compte RDP et VPN. De nombreuses offres (47 %) impliquaient un accès avec des droits d'administrateur sur le réseau compromis. Vingt-huit pour cent des publicités dans lesquelles des droits étaient spécifiés impliquaient des droits d'administration de domaine, 23 % avaient des droits d'utilisation standard et une petite fraction fournissait un accès au compte root.
Les chercheurs de Group-IB ont également trouvé des publicités IAB pour l'accès aux environnements Citrix, plusieurs panneaux Web pour les serveurs CMS et cloud, et des shells Web sur des systèmes compromis. Dans certains cas, les IAB ont même proposé de lancer des charges utiles à mouvement latéral telles que Cobalt Strike Beacon ou des sessions Metasploit au nom de l'acheteur. Mais les offres pour ces informations d'identification et ces services ont tendance à être moins courantes que celles impliquant des informations d'identification RDP et VPN.
Les organisations pour lesquelles les offres d'accès étaient le plus souvent disponibles dans les forums et les marchés clandestins comprenaient les entreprises manufacturières, les entreprises de services financiers, les organisations immobilières, les entreprises d'éducation et de technologie de l'information.
Group-IB a constaté que la forte augmentation du nombre d'entités opérant dans l'espace IAB au cours de la période de son étude avait fait baisser les prix pour la plupart des catégories d'accès initial.
Le prix moyen de 2,800 6,500 $ observé par l'entreprise représentait en fait moins de la moitié des XNUMX XNUMX $ que les IAB facturaient en moyenne pour le même accès un an auparavant.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://www.darkreading.com/threat-intelligence/initial-access-broker-market-booms-poses-growing-threat-to-enterprise-orgs-
- 2021
- 2022
- 2023
- 7
- a
- accès
- Compte
- infection
- administration
- Après
- Tous
- selon une analyse de l’Université de Princeton
- ainsi que
- annuel
- chacun.e
- une approche
- autour
- associé
- attaquer
- Attaques
- Australien
- disponibles
- moyen
- pour
- jusqu'à XNUMX fois
- plus gros
- Le plus grand
- Brasil
- Pause
- Rupture
- courtier
- courtiers
- Canada
- catégories
- CEO
- Développement
- charge
- le cloud
- Cms
- Cobalt
- Commun
- communément
- Sociétés
- Société
- Compromise
- conduite
- Conti
- continuer
- pourriez
- d'exportation
- Lettres de créance
- Criminels
- Clients
- la cybercriminalité
- les cybercriminels
- décrit
- à poser
- détails
- découvert
- diversifier
- domaine
- down
- Goutte
- pendant
- Plus tôt
- économie
- Éducation
- assurer
- Entreprise
- sécurité d'entreprise
- entreprises
- entités
- environnements
- biens
- Pourtant, la
- faciliter
- la traduction de documents financiers
- services financiers
- Ferme
- entreprises
- Prénom
- forums
- trouvé
- fraction
- France
- de
- Carburant
- avenir
- Gain
- Donner
- Réservation de groupe
- Groupes
- Croître
- Croissance
- cultivé
- Croissance
- Half
- ayant
- Haute
- le plus élevé
- Ruche
- HTTPS
- Des centaines
- immédiatement
- in
- inclus
- Améliore
- d'information
- technologie de l'information
- initiale
- instance
- Assurance
- Intelligence
- impliqué
- IT
- Nom de famille
- L'année dernière
- En retard
- lancer
- dirigeants
- recherchez-
- majeur
- Majorité
- gestion
- fabrication
- de nombreuses
- Marché
- sur le dark web
- Marchés
- Membres
- PLUS
- (en fait, presque toutes)
- plusieurs
- presque
- réseau et
- réseaux
- Nouveauté
- notable
- noté
- nombre
- code
- présenté
- offrant
- Offres Speciales
- Huile
- producteurs de pétrole
- ONE
- d'exploitation
- Opérations
- opérateurs
- organisations
- Autre
- panneaux
- passé
- pour cent
- période
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Jouez
- précédemment
- prix
- Tarifs
- Privé
- Nos producteurs
- proposition
- protocole
- fournir
- à condition de
- de voiture.
- achat
- Poussé
- Quantum
- Trimestre
- Rapide
- ransomware
- Attaques de ransomware
- réal
- biens immobiliers
- en relation
- relativement
- libéré
- éloigné
- rapport
- un article
- chercheurs
- droits
- Rôle
- racine
- Saïd
- SOLDE
- vente
- même
- Deuxièmement
- sécurité
- vendre
- Serveurs
- Services
- brainstorming
- plusieurs
- net
- similaires
- petit
- So
- vendu
- quelques
- Space
- spécialiser
- spécifié
- Standard
- j'ai commencé
- Déclaration
- volé
- grève
- Étude
- ultérieur
- tel
- SWEAT
- Système
- Target
- équipes
- Technique
- Technologie
- Telegram
- La
- le monde
- leur
- cette semaine
- menace
- des menaces
- à
- top
- types
- Uk
- Ukraine
- utilisé
- Plus-value
- Vaste
- victimes
- VPN
- VPN
- Montres
- web
- semaine
- qui
- WHO
- prêt
- sans
- Nos principaux partenaires
- world
- an
- années
- zéphyrnet