Nazwy takie jak Novelli, orangecake, Pirat-Networks, SubComandanteVPN i zirochka raczej nie będą miały znaczenia dla zdecydowanej większości zespołów ds. bezpieczeństwa w przedsiębiorstwach. Ale dla operatorów oprogramowania ransomware i innych cyberprzestępców szukających szybkiego dostępu do sieci korporacyjnych to było to dotychczasowy brokerzy zbliżali się przez większą część ubiegłego roku.
Łącznie na te pięć podmiotów przypadało około 25% wszystkich ofert dostępu do sieci korporacyjnych, które były dostępne w sprzedaży na podziemnych forach między drugą połową 2021 r. a pierwszą połową 2022 r. Te tzw. nazywani brokerami dostępu początkowego (IAB) sprzedawali skradzione dane konta VPN i protokołu zdalnego pulpitu (RDP) oraz inne dane uwierzytelniające, których przestępcy mogliby użyć do włamania się do sieci ponad 2,800 organizacji na całym świecie bez najmniejszego wysiłku.
Ogromny i rozwijający się rynek
Pięciu operatorów było liderami na znacznie większym i szybko rozwijającym się rynku setek innych podobnych IAB, które firma ochroniarska Group-IB odkryła podczas przeprowadzania badań dla swoich 11. raport roczny na temat przestępczości związanej z zaawansowanymi technologiami, wydany w tym tygodniu.
Badanie firmy wykazało gwałtowny wzrost rok do roku liczby IAB działających na podziemnych forach i rynkach — z 262 w bezpośrednio poprzedzającym okresie 12 miesięcy do 380 w okresie od drugiej połowy 2021 r. do pierwszej połowy 2022 r. 327. Około XNUMX IAB, które Grupa-IB zaobserwowała w tym okresie, to nowe pozycje w tej przestrzeni.
Badacze z Grupy IB odkryli również 41% wzrost liczby krajów, do których należały zaatakowane podmioty — z 68 rok wcześniej do 96 w okresie objętym badaniem. Prawie jedna czwarta — 24% — wszystkich ofert początkowego dostępu dotyczyła sieci organizacji z siedzibą w USA. Inne kraje o stosunkowo dużej liczbie ofiar to Brazylia, Kanada, Francja i Wielka Brytania.
„Ponieważ sprzedaż dostępu stale rośnie i dywersyfikuje się, IAB są jednym z głównych zagrożeń, które należy obserwować w 2023 r.”, ostrzegł Dmitrij Wołkow, dyrektor generalny Group-IB, w oświadczeniu dołączonym do nowego raportu.
„Brokerzy pierwszego dostępu pełnią rolę producentów ropy dla całej szarej strefy” – zaznaczył. „Podsycają i ułatwiają działania innych przestępców, takich jak oprogramowanie ransomware i przeciwnicy państw narodowych”.
„Oportunistyczni ślusarze świata bezpieczeństwa”
Propozycja wartości IAB w gospodarce cyberprzestępczej polega na tym, że dają innym cyberprzestępcom sposób na łatwe zdobycie przyczółka w docelowej sieci bez konieczności wykonywania jakichkolwiek prac wstępnych. IAB wykonują techniczną pracę polegającą na włamywaniu się do sieci i kradzieży danych uwierzytelniających — takich jak te związane z VPN, usługami RDP, Active Directory i panelami zdalnego zarządzania — które zapewniają późniejszy dostęp do sieci. Często mogą upuścić powłoki sieciowe w zaatakowanej sieci, aby zapewnić stały dostęp do niej w przyszłości, a następnie sprzedać powłoki sieciowe. W raporcie z zeszłego roku badacze z Google Threat Analysis Group opisali IAB jako „oportunistycznych ślusarzy świata bezpieczeństwa”, którzy specjalizują się w naruszaniu celu i oferowaniu dostępu do niego temu, kto zaoferuje najwyższą cenę.
Napędzanie gospodarki ransomware
IAB oferują swoje towary każdemu, kto chce je kupić, a także rynek ich usług szybko się rozrósł w ciągu ostatnich dwóch lat. Ale ich największymi klientami ostatnio byli operatorzy oprogramowania ransomware.
Nowe badanie przeprowadzone przez firmę wywiadowczą KELA wykazało, że kilka dużych ataków ransomware z udziałem grup takich jak Hive, Sodinokibi, BlackByte i Quantum rozpoczęło się od dostępu do sieci z IAB. W jednym przypadku członkowie grupy ransomware Conti dołączył do IAB do organizacji docelowych na Ukrainie.
"The najbardziej godne uwagi zdarzenie było związane z atakiem na Medibank, australijskiego ubezpieczyciela, który został zaatakowany po tym, jak dostęp do sieci firmy został sprzedany na prywatnym kanale Telegram” – powiedział KELA.
Badacze z Group-IB odkryli, że 70% typów dostępu oferowanych przez IAB to dane konta RDP i VPN. Wiele ofert — 47% — dotyczyło dostępu z uprawnieniami administratora do zaatakowanej sieci. Dwadzieścia osiem procent reklam, w których określono prawa, dotyczyło praw do administrowania domeną, 23% miało standardowe prawa użytkowania, a niewielki ułamek zapewniał dostęp do konta root.
Badacze z Group-IB znaleźli również reklamy IAB dotyczące dostępu do środowisk Citrix, wielu paneli internetowych dla CMS i serwerów chmurowych oraz powłok internetowych w zaatakowanych systemach. W niektórych przypadkach organizacje IAB oferowały nawet uruchomienie w imieniu kupującego ładunków o ruchu bocznym, takich jak sesje Cobalt Strike Beacon lub Metasploit. Ale oferty tych poświadczeń i usług były mniej powszechne niż te, które obejmowały poświadczenia RDP i VPN.
Organizacje, dla których oferty dostępu były najczęściej dostępne na podziemnych forach i platformach handlowych, obejmowały firmy produkcyjne, firmy świadczące usługi finansowe, organizacje zajmujące się nieruchomościami, firmy edukacyjne i informatyczne.
Grupa-IB stwierdziła, że gwałtowny wzrost liczby podmiotów działających w przestrzeni IAB w okresie jej badania spowodował spadek cen dla większości kategorii początkowego dostępu.
Średnia cena 2,800 USD, którą zaobserwowała firma, była w rzeczywistości niższa niż połowa z 6,500 USD, które IAB pobierały średnio za ten sam dostęp rok wcześniej.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.darkreading.com/threat-intelligence/initial-access-broker-market-booms-poses-growing-threat-to-enterprise-orgs-
- 2021
- 2022
- 2023
- 7
- a
- dostęp
- Konto
- aktywny
- administracja
- Po
- Wszystkie kategorie
- analiza
- i
- roczny
- ktoś
- podejście
- na około
- powiązany
- atakować
- Ataki
- australijski
- dostępny
- średni
- oświetlać
- pomiędzy
- większe
- Najwyższa
- Brazylia
- przerwa
- Przełamując
- pośrednik
- brokerów
- Kanada
- kategorie
- ceo
- Kanał
- opłata
- Chmura
- CMS
- Kobalt
- wspólny
- powszechnie
- Firmy
- sukcesy firma
- Zagrożone
- prowadzenia
- Conti
- kontynuować
- mógłby
- kraje
- Listy uwierzytelniające
- przestępcy
- Klientów
- cyberprzestępczość
- cyberprzestępcy
- opisane
- stacjonarny
- detale
- odkryty
- urozmaicać
- domena
- na dół
- Spadek
- podczas
- Wcześniej
- gospodarka
- Edukacja
- zapewnić
- Enterprise
- bezpieczeństwo przedsiębiorstwa
- przedsiębiorstwa
- podmioty
- środowiska
- majątek
- Parzyste
- ułatwiać
- budżetowy
- usługi finansowe
- Firma
- firmy
- i terminów, a
- Forum
- znaleziono
- frakcja
- Francja
- od
- Paliwo
- przyszłość
- Wzrost
- Dać
- Zarządzanie
- Grupy
- Rosnąć
- Rozwój
- dorosły
- Wzrost
- Pół
- mający
- Wysoki
- Najwyższa
- Ul
- HTTPS
- Setki
- natychmiast
- in
- włączony
- Zwiększać
- Informacja
- technologia informacyjna
- początkowy
- przykład
- ubezpieczenie
- Inteligencja
- zaangażowany
- IT
- Nazwisko
- Ostatni rok
- Późno
- uruchomić
- Przywódcy
- poszukuje
- poważny
- Większość
- i konserwacjami
- produkcja
- wiele
- rynek
- targowiskach
- rynki
- Użytkownicy
- jeszcze
- większość
- wielokrotność
- prawie
- sieć
- sieci
- Nowości
- dostojnik
- zauważyć
- numer
- oferta
- oferowany
- oferuje
- Oferty
- Olej
- producenci oleju
- ONE
- operacyjny
- operacje
- operatorzy
- organizacji
- Inne
- Panele
- Przeszłość
- procent
- okres
- plato
- Analiza danych Platona
- PlatoDane
- Grać
- poprzednio
- Cena
- Cennik
- prywatny
- Producenci
- propozycja
- protokół
- zapewniać
- pod warunkiem,
- dostawca
- zakup
- popychany
- Kwant
- Kwartał
- Szybki
- ransomware
- Ataki ransomware
- real
- nieruchomość
- związane z
- stosunkowo
- wydany
- zdalny
- raport
- Badania naukowe
- Badacze
- prawa
- Rola
- korzeń
- Powiedział
- sprzedaż
- sole
- taki sam
- druga
- bezpieczeństwo
- sprzedać
- Serwery
- Usługi
- Sesje
- kilka
- ostry
- podobny
- mały
- So
- sprzedany
- kilka
- Typ przestrzeni
- specjalizować
- określony
- standard
- rozpoczęty
- Zestawienie sprzedaży
- skradziony
- strajk
- Badanie
- kolejny
- taki
- POCIĆ SIĘ
- systemy
- cel
- Zespoły
- Techniczny
- Technologia
- Telegram
- Połączenia
- świat
- ich
- w tym tygodniu
- groźba
- zagrożenia
- do
- Top
- typy
- Uk
- Ukraina
- posługiwać się
- wartość
- Naprawiono
- Ofiary
- VPN
- VPN
- Oglądaj
- sieć
- tydzień
- który
- KIM
- skłonny
- bez
- Praca
- świat
- rok
- lat
- zefirnet