È improbabile che nomi come Novelli, orangecake, Pirat-Networks, SubComandanteVPN e zirochka significhino qualcosa per la stragrande maggioranza dei team di sicurezza aziendale. Ma per gli operatori di ransomware e altri criminali informatici che cercano un rapido accesso alle reti aziendali, lo erano , il broker ad avvicinarsi per gran parte dello scorso anno.
Complessivamente, le cinque entità rappresentavano circa il 25% di tutte le offerte di accesso alle reti aziendali che erano disponibili per la vendita sui forum sotterranei tra la seconda metà del 2021 e la prima metà del 2022. Per un prezzo medio di circa $ 2,800, questi so- I cosiddetti broker di accesso iniziale (IAB) vendevano dettagli di account VPN e RDP (Remote Desktop Protocol) rubati e altre credenziali che i criminali potevano utilizzare per entrare nelle reti di oltre 2,300 organizzazioni in tutto il mondo, senza sudare.
Un mercato vasto e in crescita
I cinque operatori erano i leader in un mercato molto più grande e in rapida crescita di centinaia di altri IAB simili che la società di sicurezza Group-IB ha scoperto mentre conduceva ricerche per il suo Undicesima relazione annuale sulla criminalità ad alta tecnologia, rilasciato questa settimana.
La ricerca dell'azienda ha mostrato una forte crescita anno su anno del numero di IAB che operano in forum e mercati clandestini: da 262 nel periodo di 12 mesi immediatamente precedente a 380 nel periodo tra la seconda metà del 2021 e la prima metà del 2022. Circa 327 degli IAB che Group-IB ha osservato operare durante quel periodo erano nuovi ingressi nello spazio.
I ricercatori del gruppo IB hanno anche scoperto un aumento del 41% nel numero di paesi a cui appartenevano entità compromesse, da 68 un anno prima a 96 nel periodo del suo studio. Quasi un quarto, il 24%, di tutte le offerte di accesso iniziale riguardava le reti di organizzazioni con sede negli Stati Uniti. Altri paesi con un numero relativamente elevato di vittime includono Brasile, Canada, Francia e Regno Unito.
"Poiché le vendite di accesso continuano a crescere e diversificarsi, gli IAB sono una delle principali minacce da tenere d'occhio nel 2023", ha avvertito Dmitry Volkov, CEO di Group-IB, in una dichiarazione che accompagna il nuovo rapporto.
"Gli intermediari di accesso iniziale svolgono il ruolo di produttori di petrolio per l'intera economia sommersa", ha osservato. "Alimentano e facilitano le operazioni di altri criminali, come ransomware e avversari di stato-nazione".
“Fabbri opportunisti del mondo della sicurezza”
La proposta di valore degli IAB nell'economia del crimine informatico è che offrono ad altri criminali informatici un modo per ottenere un facile punto d'appoggio su una rete bersaglio senza che debbano fare alcun lavoro di gamba in anticipo. Gli IAB svolgono il lavoro tecnico di irrompere in una rete e rubare le credenziali, come quelle associate a VPN, servizi RDP, Active Directory e pannelli di gestione remota, che forniscono l'accesso successivo ad essa. Spesso possono rilasciare Web shell su una rete compromessa per garantire un accesso futuro persistente ad essa e quindi vendere le Web shell. In un rapporto dello scorso anno, i ricercatori del Threat Analysis Group di Google hanno descritto gli IAB come "fabbri opportunisti del mondo della sicurezza” specializzati nel violare un obiettivo e nell'offrirne l'accesso al miglior offerente.
Alimentare l'economia del ransomware
Gli IAB offrono le loro merci a chiunque sia disposto ad acquistarle e il mercato per i loro servizi è cresciuto rapidamente negli ultimi due anni circa. Ma i loro maggiori clienti negli ultimi tempi sono stati gli operatori di ransomware.
Un nuovo studio della società di intelligence sulle minacce KELA ha mostrato che diversi importanti attacchi ransomware che coinvolgono gruppi come Hive, Sodinokibi, BlackByte e Quantum sono iniziati con l'accesso alla rete da un IAB. In un caso, i membri del gruppo ransomware Conti è entrato a far parte di un IAB per prendere di mira le organizzazioni in Ucraina.
"La incidente più notevole era correlato all'attacco a Medibank, una compagnia di assicurazioni australiana, che è stata attaccata dopo che l'accesso alla rete della società è stato venduto su un canale privato di Telegram", ha affermato KELA.
I ricercatori di Group-IB hanno scoperto che il 70% dei tipi di accesso offerti dagli IAB erano dettagli di account RDP e VPN. Molte delle offerte, il 47%, riguardavano l'accesso con diritti di amministratore sulla rete compromessa. Il 23% degli annunci in cui sono stati specificati i diritti riguardava i diritti di amministrazione del dominio, il XNUMX% aveva diritti di utilizzo standard e una piccola frazione forniva l'accesso all'account root.
I ricercatori di Group-IB hanno anche trovato pubblicità IAB per l'accesso agli ambienti Citrix, più pannelli Web per CMS e server cloud e shell Web su sistemi compromessi. In alcuni casi, gli IAB si sono persino offerti di lanciare payload con movimento laterale come sessioni Cobalt Strike Beacon o Metasploit per conto dell'acquirente. Ma le offerte per queste credenziali e servizi tendevano ad essere meno comuni di quelle che riguardavano credenziali RDP e VPN.
Le organizzazioni per le quali le offerte di accesso erano più comunemente disponibili nei forum e nei mercati clandestini includevano aziende manifatturiere, società di servizi finanziari, organizzazioni immobiliari, istruzione e società di tecnologia dell'informazione.
Group-IB ha rilevato che il forte aumento del numero di entità operanti nello spazio IAB durante il periodo del suo studio aveva fatto scendere i prezzi per la maggior parte delle categorie di accesso iniziale.
Il prezzo medio di 2,800 dollari che l'azienda ha osservato era, infatti, meno della metà dei 6,500 dollari che gli IAB erano soliti addebitare in media per lo stesso accesso un anno prima.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/threat-intelligence/initial-access-broker-market-booms-poses-growing-threat-to-enterprise-orgs-
- 2021
- 2022
- 2023
- 7
- a
- accesso
- Il mio account
- attivo
- amministrazione
- Dopo shavasana, sedersi in silenzio; saluti;
- Tutti
- .
- ed
- annuale
- chiunque
- approccio
- in giro
- associato
- attacco
- attacchi
- Australiano
- disponibile
- media
- faro
- fra
- maggiore
- Maggiore
- Brasil
- Rompere
- Rottura
- broker
- brokers
- Canada
- categoria
- ceo
- canale
- carica
- Cloud
- cms
- Cobalto
- Uncommon
- comunemente
- Aziende
- azienda
- Compromissione
- conduzione
- Conti
- continua
- potuto
- paesi
- Credenziali
- criminali
- Clienti
- cybercrime
- i criminali informatici
- descritta
- tavolo
- dettagli
- scoperto
- diversificare
- dominio
- giù
- Cadere
- durante
- In precedenza
- economia
- Istruzione
- garantire
- Impresa
- sicurezza aziendale
- aziende
- entità
- ambienti
- tenuta
- Anche
- facilitare
- finanziario
- servizi finanziari
- Impresa
- Aziende
- Nome
- forum
- essere trovato
- frazione
- Francia
- da
- Carburante
- futuro
- Guadagno
- Dare
- Gruppo
- Gruppo
- Crescere
- Crescita
- cresciuto
- Crescita
- Metà
- avendo
- Alta
- massimo
- Alveare
- HTTPS
- centinaia
- subito
- in
- incluso
- Aumento
- informazioni
- tecnologie dell'informazione
- inizialmente
- esempio
- assicurazione
- Intelligence
- coinvolto
- IT
- Cognome
- L'anno scorso
- In ritardo
- lanciare
- capi
- cerca
- maggiore
- Maggioranza
- gestione
- consigliato per la
- molti
- Rappresentanza
- mercati
- Mercati
- Utenti
- Scopri di più
- maggior parte
- multiplo
- quasi
- Rete
- reti
- New
- notevole
- noto
- numero
- offrire
- offerto
- offerta
- Offerte
- Olio
- produttori di petrolio
- ONE
- operativo
- Operazioni
- Operatori
- organizzazioni
- Altro
- pannelli
- passato
- per cento
- periodo
- Platone
- Platone Data Intelligence
- PlatoneDati
- Giocare
- in precedenza
- prezzo
- Prezzi
- un bagno
- Produttori
- proposizione
- protocollo
- fornire
- purché
- fornitore
- Acquista
- spinto
- Quantistico
- Trimestre
- Presto
- ransomware
- Attacchi ransomware
- di rose
- beni immobili
- relazionato
- relativamente
- rilasciato
- a distanza
- rapporto
- riparazioni
- ricercatori
- diritti
- Ruolo
- radice
- Suddetto
- vendita
- vendite
- stesso
- Secondo
- problemi di
- venda
- Server
- Servizi
- sessioni
- alcuni
- affilato
- simile
- piccole
- So
- venduto
- alcuni
- lo spazio
- specializzarsi
- specificato
- Standard
- iniziato
- dichiarazione
- rubare
- sciopero
- Studio
- successivo
- tale
- SUDORE
- SISTEMI DI TRATTAMENTO
- Target
- le squadre
- Consulenza
- Tecnologia
- Telegram
- I
- il mondo
- loro
- questa settimana
- minaccia
- minacce
- a
- top
- Tipi di
- Uk
- Ucraina
- uso
- APPREZZIAMO
- Fisso
- vittime
- VPN
- VPN
- Orologio
- sito web
- settimana
- quale
- OMS
- disposto
- senza
- Lavora
- mondo
- anno
- anni
- zefiro