Namen als Novelli, orangecake, Pirat-Networks, SubComandanteVPN en zirochka zullen waarschijnlijk niets betekenen voor de overgrote meerderheid van de beveiligingsteams van ondernemingen. Maar voor ransomware-exploitanten en andere cybercriminelen die op zoek zijn naar snelle toegang tot bedrijfsnetwerken, waren dit wel de makelaars te benaderen voor een groot deel van vorig jaar.
Samen waren de vijf entiteiten goed voor ongeveer 25% van alle toegangsaanbiedingen tot bedrijfsnetwerken die tussen de tweede helft van 2021 en de eerste helft van 2022 te koop waren op ondergrondse fora. Voor een gemiddelde prijs van ongeveer $ 2,800, deze zo- zogenaamde initial access brokers (IAB's) verkochten gestolen VPN- en Remote Desktop Protocol (RDP)-accountgegevens en andere inloggegevens die criminelen konden gebruiken om in te breken in de netwerken van meer dan 2,300 organisaties over de hele wereld, zonder zich in het zweet te werken.
Een enorme en groeiende marktplaats
De vijf operators waren de leiders in een veel grotere en snelgroeiende markt van honderden andere vergelijkbare IAB's die beveiligingsbedrijf Group-IB ontdekte toen hij onderzoek deed voor zijn Elfde jaarverslag over hightechcriminaliteit, deze week uitgebracht.
Het onderzoek van het bedrijf toonde een sterke jaar-op-jaar groei aan van het aantal IAB's dat actief is in ondergrondse fora en markten - van 262 in de onmiddellijk voorafgaande periode van 12 maanden tot 380 in de periode tussen de tweede helft van 2021 en de eerste helft van 2022. Ongeveer 327 van de IAB's die Group-IB tijdens die periode in werking zag, waren nieuwkomers in de ruimte.
Onderzoekers van Group-IB ontdekten ook een toename van 41% in het aantal landen waartoe gecompromitteerde entiteiten behoorden - van 68 een jaar eerder tot 96 gedurende de periode van hun onderzoek. Bijna een kwart - 24% - van alle initiële toegangsaanbiedingen betrof de netwerken van in de VS gevestigde organisaties. Andere landen met relatief veel slachtoffers waren Brazilië, Canada, Frankrijk en het VK.
"Aangezien de verkoop van toegangsproducten blijft groeien en diversifiëren, vormen IAB's een van de grootste bedreigingen om in de gaten te houden in 2023", waarschuwde Dmitry Volkov, CEO van Group-IB, in een verklaring bij het nieuwe rapport.
"Initiële toegangsmakelaars spelen de rol van olieproducenten voor de hele ondergrondse economie", merkte hij op. "Ze voeden en faciliteren de operaties van andere criminelen, zoals ransomware en tegenstanders van nationale staten."
"Opportunistische slotenmakers van de beveiligingswereld"
De waardepropositie van IAB's in de cybercriminaliteitseconomie is dat ze andere cybercriminelen een manier bieden om gemakkelijk voet aan de grond te krijgen op een doelnetwerk zonder dat ze vooraf enig voorwerk hoeven te doen. IAB's doen het technische werk van het inbreken in een netwerk en het stelen van inloggegevens - zoals die van VPN's, RDP-services, Active Directory en panelen voor beheer op afstand - die vervolgens toegang geven tot het netwerk. Vaak kunnen ze webshells op een gecompromitteerd netwerk plaatsen om blijvende toekomstige toegang tot het netwerk te garanderen en vervolgens de webshells verkopen. In een rapport vorig jaar beschreven onderzoekers van Google's Threat Analysis Group IAB's als de "opportunistische slotenmakers van de beveiligingswereld' die gespecialiseerd zijn in het doorbreken van een doelwit en het bieden van toegang ertoe aan de hoogste bieder.
Aanjagen van de ransomware-economie
IAB's bieden hun waren aan aan iedereen die ze wil kopen, en aan de markt voor hun diensten is snel gegroeid de afgelopen twee jaar of zo. Maar hun grootste klanten van de laatste tijd zijn ransomware-operators.
Een nieuwe studie van bedreigingsinformatiebureau KELA toonde aan dat verschillende grote ransomware-aanvallen waarbij groepen als Hive, Sodinokibi, BlackByte en Quantum betrokken waren, begonnen met netwerktoegang vanaf een IAB. In één geval leden van de Conti-ransomwaregroep sloot zich aan bij een IAB zich richten op organisaties in Oekraïne.
"De meest opvallende voorval was gerelateerd aan de aanval op Medibank, een Australische verzekeringsmaatschappij, die werd aangevallen nadat netwerktoegang tot het bedrijf was verkocht op een privé Telegram-kanaal”, aldus KELA.
De onderzoekers van Group-IB ontdekten dat 70% van de toegangstypes die IAB's aanboden RDP- en VPN-accountgegevens waren. Bij veel van de aanbiedingen - 47% - ging het om toegang met beheerdersrechten op het gecompromitteerde netwerk. Achtentwintig procent van de advertenties waarin rechten werden gespecificeerd, had betrekking op domeinbeheerrechten, 23% had standaard gebruiksrechten en een klein deel bood root-accounttoegang.
Onderzoekers van Group-IB vonden ook IAB-advertenties voor toegang tot Citrix-omgevingen, meerdere webpanelen voor CMS- en cloudservers en webshells op gecompromitteerde systemen. In sommige gevallen boden IAB's zelfs aan om namens de koper payloads met zijwaartse beweging te lanceren, zoals Cobalt Strike Beacon of Metasploit-sessies. Maar aanbiedingen voor deze inloggegevens en services kwamen minder vaak voor dan die met RDP- en VPN-inloggegevens.
Organisaties waarvoor toegangsaanbiedingen het meest beschikbaar waren op ondergrondse fora en marktplaatsen, waren onder meer productiebedrijven, financiële dienstverleners, vastgoedorganisaties, onderwijs en informatietechnologiebedrijven.
Group-IB ontdekte dat de sterke toename van het aantal entiteiten dat actief was in de IAB-ruimte tijdens de periode van zijn studie de prijzen had gedrukt voor de meeste categorieën van initiële toegang.
De gemiddelde prijs van $ 2,800 die het bedrijf waarnam, was in feite minder dan de helft van de $ 6,500 die IAB's een jaar eerder gemiddeld rekenden voor dezelfde toegang.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/threat-intelligence/initial-access-broker-market-booms-poses-growing-threat-to-enterprise-orgs-
- 2021
- 2022
- 2023
- 7
- a
- toegang
- Account
- actieve
- administratie
- Na
- Alles
- analyse
- en
- jaar-
- iedereen
- nadering
- rond
- geassocieerd
- aanvallen
- Aanvallen
- Australisch
- Beschikbaar
- gemiddelde
- baken
- tussen
- groter
- Grootste
- Brazilië
- Breken
- Breaking
- makelaar
- brokers
- Canada
- categorieën
- ceo
- Kanaal
- lading
- Cloud
- cms
- Cobalt
- Gemeen
- algemeen
- Bedrijven
- afstand
- Aangetast
- uitvoeren
- Conti
- voortzetten
- kon
- landen
- Geloofsbrieven
- criminelen
- Klanten
- cybercrime
- cybercriminelen
- beschreven
- desktop
- gegevens
- ontdekt
- Diversificatie
- domein
- beneden
- Val
- gedurende
- Vroeger
- economie
- Onderwijs
- verzekeren
- Enterprise
- enterprise beveiliging
- bedrijven
- entiteiten
- omgevingen
- vastgoed
- Zelfs
- vergemakkelijken
- financieel
- financiële diensten
- Stevig
- bedrijven
- Voornaam*
- forums
- gevonden
- fractie
- Frankrijk
- oppompen van
- Brandstof
- toekomst
- Krijgen
- Geven
- Kopen Google Reviews
- Groep
- Groep
- Groeien
- Groeiend
- gegroeid
- Helft
- met
- Hoge
- hoogst
- Bijenkorf
- HTTPS
- Honderden
- per direct
- in
- inclusief
- Laat uw omzet
- informatie
- informatietechnologie
- eerste
- instantie
- verzekering
- Intelligentie
- betrokken zijn
- IT
- Achternaam*
- Afgelopen jaar
- Laat
- lancering
- leiders
- op zoek
- groot
- Meerderheid
- management
- productie
- veel
- Markt
- marktplaatsen
- Markten
- Leden
- meer
- meest
- meervoudig
- bijna
- netwerk
- netwerken
- New
- opvallend
- bekend
- aantal
- bieden
- aangeboden
- het aanbieden van
- Aanbod
- Olie
- olieproducenten
- EEN
- werkzaam
- Operations
- exploitanten
- organisaties
- Overige
- panelen
- verleden
- procent
- periode
- Plato
- Plato gegevensintelligentie
- PlatoData
- Spelen
- die eerder
- prijs
- Prijzen
- privaat
- Producenten
- voorstel
- protocol
- zorgen voor
- mits
- leverancier
- inkomsten
- geduwd
- Quantum
- Quarter
- Quick
- ransomware
- Ransomware-aanvallen
- vast
- vastgoed
- verwant
- relatief
- uitgebracht
- vanop
- verslag
- onderzoek
- onderzoekers
- rechten
- Rol
- wortel
- Zei
- sale
- verkoop
- dezelfde
- Tweede
- veiligheid
- verkopen
- Servers
- Diensten
- sessies
- verscheidene
- scherp
- gelijk
- Klein
- So
- uitverkocht
- sommige
- Tussenruimte
- specializeren
- gespecificeerd
- standaard
- gestart
- Statement
- gestolen
- slaan
- Studie
- volgend
- dergelijk
- ZWEET
- Systems
- doelwit
- teams
- Technisch
- Technologie
- Telegram
- De
- de wereld
- hun
- deze week
- bedreiging
- bedreigingen
- naar
- top
- types
- Uk
- Oekraïne
- .
- waarde
- groot
- slachtoffers
- VPN
- VPN's
- Bekijk de introductievideo
- web
- week
- welke
- WIE
- gewillig
- zonder
- Mijn werk
- wereld
- jaar
- jaar
- zephyrnet