Navn som Novelli, orangecake, Pirat-Networks, SubComandanteVPN og zirochka betyr neppe noe for det store flertallet av bedriftssikkerhetsteam. Men for løsepengevareoperatører og andre nettkriminelle som leter etter rask tilgang til bedriftsnettverk, var disse de meglere til å henvende seg for en stor del av fjoråret.
Mellom dem utgjorde de fem enhetene rundt 25 % av alle tilgangstilbud til bedriftsnettverk som var tilgjengelig for salg på underjordiske fora mellom andre halvdel av 2021 og første halvdel av 2022. For en gjennomsnittspris på rundt 2,800 2,300 dollar, kalt initial access brokers (IABs) solgte stjålne VPN- og Remote Desktop Protocol (RDP)-kontodetaljer og annen legitimasjon som kriminelle kunne bruke til å bryte seg inn i nettverkene til mer enn XNUMX organisasjoner rundt om i verden, uten å svette.
En stor og voksende markedsplass
De fem operatørene var ledere i et mye større og raskt voksende marked med hundrevis av andre lignende IAB-er som sikkerhetsfirmaet Group-IB oppdaget da de utførte forskning for sine 11. årsrapport om høyteknologisk kriminalitet, utgitt denne uken.
Selskapets undersøkelser viste en kraftig vekst fra år til år i antall IABer som opererer i underjordiske fora og markeder - fra 262 i den umiddelbart foregående 12-månedersperioden til 380 i perioden mellom andre halvdel av 2021 og første halvdel av 2022. Omtrent 327 av IAB-ene som Group-IB observerte i drift i denne perioden var nye oppføringer i området.
Group-IB-forskere avdekket også en økning på 41 % i antall land som kompromitterte enheter tilhørte - fra 68 et år tidligere til 96 i løpet av studieperioden. Nesten en fjerdedel – 24 % – av alle innledende tilgangstilbud involverte nettverkene til USA-baserte organisasjoner. Andre land med et relativt høyt antall ofre inkluderer Brasil, Canada, Frankrike og Storbritannia.
"Når tilgangssalget fortsetter å vokse og diversifiseres, er IAB-er en av de største truslene å se i 2023," advarte Dmitry Volkov, administrerende direktør i Group-IB, i en uttalelse som følger med den nye rapporten.
"Initial access-meglere spiller rollen som oljeprodusenter for hele undergrunnsøkonomien," bemerket han. "De gir næring til og forenkler operasjonene til andre kriminelle, som løsepengevare og nasjonalstatsmotstandere."
"Opportunistiske låsesmeder i sikkerhetsverdenen"
Verdiforslaget til IAB-er i cyberkrim-økonomien er at de gir andre cyberkriminelle en måte å få et enkelt fotfeste på et målnettverk uten at de trenger å gjøre noe benarbeid på forhånd. IABer gjør det tekniske arbeidet med å bryte seg inn i et nettverk og stjele legitimasjon – for eksempel de som er knyttet til VPN-er, RDP-tjenester, Active Directory og eksterne administrasjonspaneler – som gir påfølgende tilgang til det. Ofte kan de slippe nettskall på et kompromittert nettverk for å sikre vedvarende tilgang til det i fremtiden og deretter selge nettskallene. I en rapport i fjor beskrev forskere fra Googles Threat Analysis Group IAB-er som "opportunistiske låsesmeder i sikkerhetsverdenen” som spesialiserer seg på å bryte et mål og tilby tilgang til det til høystbydende.
Fuling the Ransomware Economy
IABer tilbyr varene sine til alle som er villige til å kjøpe dem, og markedet for deres tjenester har vokst raskt de siste to årene eller så. Men deres største kunder i det siste har vært løsepengevareoperatører.
En ny studie fra trusseletterretningsfirmaet KELA viste at flere store løsepengevare-angrep som involverte grupper som Hive, Sodinokibi, BlackByte og Quantum startet med nettverkstilgang fra en IAB. I ett tilfelle medlemmer av Conti ransomware-gruppen ble med i en IAB å målrette organisasjoner i Ukraina.
"The mest bemerkelsesverdige hendelsen var relatert til angrepet på Medibank, en australsk forsikringsleverandør, som ble angrepet etter at nettverkstilgang til selskapet ble solgt på en privat Telegram-kanal, sa KELA.
Group-IBs forskere fant at 70 % av tilgangstypene som IAB-er tilbød var RDP- og VPN-kontodetaljer. Mange av tilbudene – 47 % – innebar tilgang med administratorrettigheter på det kompromitterte nettverket. Tjueåtte prosent av annonsene der rettigheter var spesifisert involverte domeneadministrasjonsrettigheter, 23 % hadde standardbruksrettigheter, og en liten brøkdel ga tilgang til root-kontoer.
Group-IB-forskere fant også IAB-annonser for tilgang til Citrix-miljøer, flere webpaneler for CMS og skyservere, og web-skall på kompromitterte systemer. I noen tilfeller tilbød IAB-er til og med å lansere nyttelaster med lateral bevegelse som Cobalt Strike Beacon eller Metasploit-økter på vegne av kjøperen. Men tilbud for disse legitimasjonene og tjenestene hadde en tendens til å være mindre vanlige enn de som involverte RDP- og VPN-legitimasjon.
Organisasjoner som tilgangstilbud var mest tilgjengelig for i underjordiske fora og markedsplasser inkluderte produksjonsselskaper, finansielle tjenestefirmaer, eiendomsorganisasjoner, utdanning og informasjonsteknologifirmaer.
Group-IB fant at den kraftige økningen i antall enheter som opererer i IAB-området i løpet av studieperioden hadde presset prisene ned for de fleste kategorier av innledende tilgang.
Gjennomsnittsprisen på $2,800 som selskapet observerte var faktisk mindre enn halvparten av $6,500 som IABs pleide å kreve i gjennomsnitt for samme tilgang et år tidligere.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://www.darkreading.com/threat-intelligence/initial-access-broker-market-booms-poses-growing-threat-to-enterprise-orgs-
- 2021
- 2022
- 2023
- 7
- a
- adgang
- Logg inn
- aktiv
- administrasjon
- Etter
- Alle
- analyse
- og
- årlig
- noen
- tilnærming
- rundt
- assosiert
- angripe
- Angrep
- Australian
- tilgjengelig
- gjennomsnittlig
- sjømerke
- mellom
- større
- Biggest
- Brasil
- Break
- Breaking
- megler
- meglere
- Canada
- kategorier
- konsernsjef
- Kanal
- kostnad
- Cloud
- CMS
- Kobolt
- Felles
- vanligvis
- Selskaper
- Selskapet
- kompromittert
- gjennomføre
- Conti
- fortsette
- kunne
- land
- Credentials
- kriminelle
- Kunder
- cybercrime
- nettkriminelle
- beskrevet
- desktop
- detaljer
- oppdaget
- diversifisere
- domene
- ned
- Drop
- under
- Tidligere
- økonomi
- Kunnskap
- sikre
- Enterprise
- virksomhetssikkerhet
- bedrifter
- enheter
- miljøer
- eiendom
- Selv
- legge til rette
- finansiell
- finansielle tjenester
- Firm
- bedrifter
- Først
- fora
- funnet
- brøkdel
- Frankrike
- fra
- Brensel
- framtid
- Gevinst
- Gi
- Gruppe
- Gruppens
- Grow
- Økende
- voksen
- Vekst
- Halvparten
- å ha
- Høy
- høyest
- Hive
- HTTPS
- Hundrevis
- umiddelbart
- in
- inkludert
- Øke
- informasjon
- informasjonsteknologi
- innledende
- f.eks
- forsikring
- Intelligens
- involvert
- IT
- Siste
- I fjor
- Late
- lansere
- ledere
- ser
- større
- Flertall
- ledelse
- produksjon
- mange
- marked
- markeds
- Markets
- medlemmer
- mer
- mest
- flere
- nesten
- nettverk
- nettverk
- Ny
- bemerkelsesverdig
- bemerket
- Antall
- tilby
- tilbudt
- tilby
- Tilbud
- Olje
- oljeprodusenter
- ONE
- drift
- Drift
- operatører
- organisasjoner
- Annen
- paneler
- Past
- prosent
- perioden
- plato
- Platon Data Intelligence
- PlatonData
- Spille
- tidligere
- pris
- Prisene
- privat
- Produsentene
- proposisjoner
- protokollen
- gi
- forutsatt
- leverandør
- Kjøp
- presset
- Quantum
- Fjerdedel
- Rask
- ransomware
- Ransomware-angrep
- ekte
- eiendomsmegling
- i slekt
- relativt
- utgitt
- fjernkontroll
- rapporterer
- forskning
- forskere
- rettigheter
- Rolle
- root
- Sa
- salg
- salg
- samme
- Sekund
- sikkerhet
- selger
- Servere
- Tjenester
- sesjoner
- flere
- skarpe
- lignende
- liten
- So
- solgt
- noen
- Rom
- spesialister
- spesifisert
- Standard
- startet
- Uttalelse
- stjålet
- streik
- Studer
- senere
- slik
- SVETTE
- Systemer
- Target
- lag
- Teknisk
- Teknologi
- Telegram
- De
- verden
- deres
- denne uka
- trussel
- trusler
- til
- topp
- typer
- Uk
- Ukraina
- bruke
- verdi
- enorme
- ofre
- VPN
- VPN
- Se
- web
- uke
- hvilken
- HVEM
- villig
- uten
- Arbeid
- verden
- år
- år
- zephyrnet