Nume precum Novelli, orangecake, Pirat-Networks, SubComandanteVPN și zirochka este puțin probabil să însemne ceva pentru marea majoritate a echipelor de securitate ale întreprinderilor. Dar pentru operatorii de ransomware și alți infractori cibernetici care caută acces rapid la rețelele întreprinderii, acestea au fost il brokerii să se apropie pentru o mare parte a anului trecut.
Între ele, cele cinci entități au reprezentat aproximativ 25% din toate ofertele de acces la rețelele de întreprindere care au fost disponibile pentru vânzare pe forumuri subterane între a doua jumătate a anului 2021 și prima jumătate a anului 2022. Pentru un preț mediu de aproximativ 2,800 USD, aceștia așa- numiți brokeri de acces inițial (IAB) au vândut detalii despre conturi VPN și protocol de desktop la distanță (RDP) furate și alte acreditări pe care infractorii le-ar putea folosi pentru a pătrunde în rețelele a peste 2,300 de organizații din întreaga lume, fără să transpire.
O piață vastă și în creștere
Cei cinci operatori au fost lideri pe o piață mult mai mare și în creștere rapidă, cu sute de alte IAB-uri similare, pe care firma de securitate Group-IB le-a descoperit când a efectuat cercetări pentru Al 11-lea raport anual privind criminalitatea de înaltă tehnologie, lansat săptămâna aceasta.
Cercetarea companiei a arătat o creștere bruscă de la an la an a numărului de IAB-uri care operează pe forumuri și piețe subterane - de la 262 în perioada imediat anterioară de 12 luni la 380 în perioada dintre a doua jumătate a anului 2021 și prima jumătate a anului 2022. 327. Aproximativ XNUMX dintre IAB-urile pe care Grupul-IB le-a observat că funcționează în acea perioadă au fost noi intrări în spațiu.
Cercetătorii Grupului IB au descoperit, de asemenea, o creștere cu 41% a numărului de țări cărora le aparțineau entitățile compromise - de la 68 cu un an mai devreme la 96 în perioada studiului său. Aproape un sfert – 24% – din toate ofertele inițiale de acces au implicat rețelele organizațiilor din SUA. Alte țări cu un număr relativ mare de victime au inclus Brazilia, Canada, Franța și Marea Britanie.
„Pe măsură ce vânzările de acces continuă să crească și să se diversifice, IAB-urile sunt una dintre principalele amenințări de urmărit în 2023”, a avertizat Dmitri Volkov, CEO al Group-IB, într-o declarație care însoțește noul raport.
„Brekerii de acces inițial joacă rolul de producători de petrol pentru întreaga economie subterană”, a menționat el. „Ele alimentează și facilitează operațiunile altor criminali, cum ar fi ransomware-ul și adversarii statului național.”
„Lăcătușii oportuniști ai lumii securității”
Propunerea de valoare a IAB-urilor în economia criminalității cibernetice este că le oferă celorlalți infractori cibernetici o modalitate de a obține o poziție ușoară într-o rețea țintă, fără a fi nevoiți să facă nicio treabă în avans. IAB-urile fac munca tehnică de a intra într-o rețea și de a fura acreditările - cum ar fi cele asociate cu VPN-uri, servicii RDP, Active Directory și panouri de gestionare la distanță - care oferă acces ulterior la aceasta. Adesea, ei pot arunca shell-uri Web într-o rețea compromisă pentru a asigura un acces viitor persistent la aceasta și apoi pot vinde shell-urile Web. Într-un raport de anul trecut, cercetătorii de la Google Threat Analysis Group au descris IAB-urile drept „lăcătuşi oportunişti ai lumii securităţii” care se specializează în încălcarea unui obiectiv și oferind acces la acesta celui mai mare ofertant.
Alimentarea economiei ransomware
IAB-urile oferă mărfurile lor oricui dorește să le cumpere și piața pentru serviciile lor a crescut rapid în ultimii doi ani și ceva. Dar cei mai mari clienți ai lor din ultima vreme au fost operatorii de ransomware.
Un nou studiu realizat de firma de informații despre amenințări KELA a arătat că mai multe atacuri ransomware majore care implică grupuri precum Hive, Sodinokibi, BlackByte și Quantum au început cu acces la rețea de la un IAB. Într-un caz, membri ai grupului de ransomware Conti s-a alăturat unui IAB pentru a viza organizațiile din Ucraina.
" cel mai notabil incident a fost legat de atacul asupra Medibank, un furnizor de asigurări australian, care a fost atacat după ce accesul la rețea la companie a fost vândut pe un canal privat Telegram”, a spus KELA.
Cercetătorii Group-IB au descoperit că 70% dintre tipurile de acces oferite de IAB-urile erau detaliile contului RDP și VPN. Multe dintre oferte – 47% – au implicat acces cu drepturi de administrator pe rețeaua compromisă. Douăzeci și opt la sută dintre reclamele în care au fost specificate drepturi implicau drepturi de administrare a domeniului, 23% aveau drepturi de utilizare standard, iar o mică parte a oferit acces la contul root.
Cercetătorii Group-IB au găsit, de asemenea, reclame IAB pentru acces la mediile Citrix, panouri Web multiple pentru CMS și servere cloud și shell-uri web pe sisteme compromise. În unele cazuri, IAB-urile s-au oferit chiar să lanseze sarcini utile cu mișcare laterală, cum ar fi Cobalt Strike Beacon sau sesiuni Metasploit în numele cumpărătorului. Dar ofertele pentru aceste acreditări și servicii tindeau să fie mai puțin comune decât cele care implică acreditări RDP și VPN.
Organizațiile pentru care ofertele de acces au fost disponibile cel mai frecvent în forumuri și piețe subterane au inclus companii de producție, firme de servicii financiare, organizații imobiliare, firme de educație și tehnologia informației.
Group-IB a constatat că creșterea bruscă a numărului de entități care operează în spațiul IAB în perioada studiului său a împins prețurile în scădere pentru majoritatea categoriilor de acces inițial.
Prețul mediu de 2,800 de dolari pe care compania l-a observat a fost, de fapt, mai puțin de jumătate din cei 6,500 de dolari pe care IAB-urile i-au perceput în medie pentru același acces cu un an anterior.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://www.darkreading.com/threat-intelligence/initial-access-broker-market-booms-poses-growing-threat-to-enterprise-orgs-
- 2021
- 2022
- 2023
- 7
- a
- acces
- Cont
- activ
- administrare
- După
- TOATE
- analiză
- și
- anual
- oricine
- abordare
- în jurul
- asociate
- ataca
- Atacuri
- australian
- disponibil
- in medie
- far
- între
- mai mare
- Cea mai mare
- Brazilia
- Pauză
- Breaking
- agent
- brokeri
- Canada
- categorii
- CEO
- Canal
- taxă
- Cloud
- CMS
- Cobalt
- Comun
- în mod obișnuit
- Companii
- companie
- compromis
- efectuarea
- Conti
- continua
- ar putea
- țări
- scrisori de acreditare
- criminali
- clienţii care
- criminalităţii cibernetice
- cybercriminals
- descris
- desktop
- detalii
- a descoperit
- diversifica
- domeniu
- jos
- Picătură
- în timpul
- Mai devreme
- economie
- Educaţie
- asigura
- Afacere
- securitatea întreprinderii
- Companii
- entități
- medii
- bunuri
- Chiar
- facilita
- financiar
- Servicii financiare
- Firmă
- firme
- First
- forumuri
- găsit
- fracțiune
- Franţa
- din
- Combustibil
- viitor
- Câştig
- Da
- grup
- Grupului
- Crește
- În creştere
- crescut
- Creștere
- Jumătate
- având în
- Înalt
- cea mai mare
- Stup
- HTTPS
- sute
- imediat
- in
- inclus
- Crește
- informații
- tehnologia informației
- inițială
- instanță
- asigurare
- Inteligență
- implicat
- IT
- Nume
- Anul trecut
- Târziu
- lansa
- Liderii
- cautati
- major
- Majoritate
- administrare
- de fabricaţie
- multe
- Piață
- piețe de desfacere
- pieţe
- Membri actuali
- mai mult
- cele mai multe
- multiplu
- aproape
- reţea
- rețele
- Nou
- notabil
- notat
- număr
- oferi
- oferit
- oferind
- promoții
- Ulei
- producătorii de petrol
- ONE
- de operare
- Operațiuni
- Operatorii
- organizații
- Altele
- Panouri
- trecut
- la sută
- perioadă
- Plato
- Informații despre date Platon
- PlatoData
- Joaca
- în prealabil
- preţ
- Prețuri
- privat
- Producătorii
- propunere
- protocol
- furniza
- prevăzut
- furnizorul
- cumpărare
- împins
- Cuantic
- Trimestru
- Rapid
- Ransomware
- Atacuri Ransomware
- real
- Imobiliare
- legate de
- relativ
- eliberat
- la distanta
- raportează
- cercetare
- cercetători
- Drepturile
- Rol
- rădăcină
- Said
- sare
- de vânzări
- acelaşi
- Al doilea
- securitate
- vinde
- Servere
- Servicii
- Sesiunile
- câteva
- ascuţit
- asemănător
- mic
- So
- vândut
- unele
- Spaţiu
- specializa
- specificată
- standard
- început
- Declarație
- furate
- grevă
- Studiu
- ulterior
- astfel de
- SUDOARE
- sisteme
- Ţintă
- echipe
- Tehnic
- Tehnologia
- Telegramă
- lumea
- lor
- în această săptămână
- amenințare
- amenințări
- la
- top
- Tipuri
- Uk
- Ucraina
- utilizare
- valoare
- Fixă
- victime
- VPN
- VPN-uri
- Ceas
- web
- săptămână
- care
- OMS
- dispus
- fără
- Apartamente
- lume
- an
- ani
- zephyrnet