Такие имена, как Novelli, Orangecake, Pirat-Networks, SubComandanteVPN и zirochka, вряд ли что-то значат для подавляющего большинства команд корпоративной безопасности. Но для операторов программ-вымогателей и других киберпреступников, ищущих быстрый доступ к корпоративным сетям, это было домен брокеры, чтобы подойти для большей части прошлого года.
В совокупности на эти пять организаций приходилось около 25% всех предложений доступа к корпоративным сетям, которые были доступны для продажи на подпольных форумах в период со второй половины 2021 года по первую половину 2022 года. так называемые брокеры начального доступа (IAB) продавали украденные данные учетной записи VPN и протокола удаленного рабочего стола (RDP) и другие учетные данные, которые преступники могли использовать для проникновения в сети более чем 2,800 организаций по всему миру без особых усилий.
Огромный и растущий рынок
Пять операторов были лидерами на гораздо более крупном и быстрорастущем рынке из сотен других подобных IAB, которые охранная компания Group-IB обнаружила при проведении исследования для своего 11-й годовой отчет о преступлениях в сфере высоких технологий, выпущенный на этой неделе.
Исследование компании показало резкий годовой рост количества IAB, работающих на андерграундных форумах и рынках — с 262 в непосредственно предшествовавший 12-месячный период до 380 в период между второй половиной 2021 года и первой половиной 2022 года. 327 г. Около XNUMX IAB, которые Group-IB наблюдала за работой в этот период, были новыми участниками рынка.
Исследователи Group-IB также обнаружили увеличение на 41% числа стран, к которым принадлежали скомпрометированные объекты — с 68 годом ранее до 96 за период исследования. Почти четверть — 24% — всех предложений первоначального доступа касались сетей организаций, базирующихся в США. Другие страны с относительно большим числом жертв включают Бразилию, Канаду, Францию и Великобританию.
«Поскольку продажи доступа продолжают расти и диверсифицироваться, IAB являются одной из главных угроз, за которыми стоит следить в 2023 году», — предупредил Дмитрий Волков, генеральный директор Group-IB, в заявлении, сопровождающем новый отчет.
«Брокеры первичного доступа играют роль производителей нефти для всей теневой экономики», — отметил он. «Они подпитывают и облегчают деятельность других преступников, таких как программы-вымогатели и противники национального государства».
«Оппортунистические слесари мира безопасности»
Ценность IAB в экономике киберпреступности заключается в том, что они дают другим киберпреступникам возможность легко закрепиться в целевой сети без необходимости выполнять какие-либо предварительные действия. IAB выполняют техническую работу по взлому сети и краже учетных данных, например связанных с VPN, службами RDP, Active Directory и панелями удаленного управления, которые обеспечивают последующий доступ к ней. Часто они могут размещать веб-оболочки в скомпрометированной сети, чтобы обеспечить постоянный доступ к ней в будущем, а затем продавать веб-оболочки. В отчете за прошлый год исследователи из группы анализа угроз Google описали IAB как «оппортунистические слесари мира безопасностикоторые специализируются на взломе цели и предоставлении доступа к ней тому, кто больше заплатит.
Подпитка экономики программ-вымогателей
IAB предлагают свои товары всем, кто желает их приобрести, и рынок их услуг быстро вырос за последние два года или около того. Но их крупнейшими клиентами в последнее время были операторы программ-вымогателей.
Новое исследование, проведенное компанией KELA, специализирующейся на анализе угроз, показало, что несколько крупных атак программ-вымогателей с участием таких групп, как Hive, Sodinokibi, BlackByte и Quantum, начались с доступа к сети из IAB. В одном случае члены группы вымогателей Conti присоединился к IAB целевым организациям в Украине.
" самый заметный инцидент была связана с атакой на Medibank, австралийскую страховую компанию, которая была атакована после того, как сетевой доступ к компании был продан на частном Telegram-канале», — говорится в сообщении KELA.
Исследователи Group-IB обнаружили, что 70% типов доступа, предлагаемых IAB, были данными учетной записи RDP и VPN. Многие из предложений — 47% — предусматривали доступ с правами администратора в скомпрометированной сети. Двадцать восемь процентов объявлений, в которых были указаны права, включали права администратора домена, 23% имели стандартные права использования, а небольшая часть предоставляла доступ к учетной записи root.
Исследователи Group-IB также обнаружили рекламу IAB для доступа к средам Citrix, множественным веб-панелям для CMS и облачных серверов, а также веб-оболочкам на скомпрометированных системах. В некоторых случаях IAB даже предлагали запускать полезные нагрузки бокового движения, такие как сеансы Cobalt Strike Beacon или Metasploit, от имени покупателя. Но предложения для этих учетных данных и услуг, как правило, были менее распространены, чем предложения, связанные с учетными данными RDP и VPN.
Организации, для которых предложения доступа чаще всего были доступны на подпольных форумах и торговых площадках, включали производственные компании, фирмы, предоставляющие финансовые услуги, организации, занимающиеся недвижимостью, образовательные и информационные фирмы.
Group-IB обнаружила, что резкое увеличение числа организаций, работающих в пространстве IAB в период исследования, привело к снижению цен на большинство категорий начального доступа.
Средняя цена в 2,800 долларов, которую наблюдала компания, на самом деле была меньше половины от 6,500 долларов, которые IAB в среднем взимали за тот же доступ годом ранее.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.darkreading.com/threat-intelligence/initial-access-broker-market-booms-poses-growing-threat-to-enterprise-orgs-
- 2021
- 2022
- 2023
- 7
- a
- доступ
- Учетная запись
- активный
- администрация
- После
- Все
- анализ
- и
- годовой
- кто угодно
- подхода
- около
- связанный
- атаковать
- нападки
- австралийский
- доступен
- в среднем
- маяк
- между
- больший
- Крупнейшая
- Бразилия
- Ломать
- Разрыв
- брокер
- Брокеры
- Канада
- категории
- Генеральный директор
- Канал
- заряд
- облако
- КМВ
- Кобальт
- Общий
- обычно
- Компании
- Компания
- Ослабленный
- проведение
- Conti
- продолжать
- может
- страны
- Полномочия
- Преступники
- Клиенты
- киберпреступности
- киберпреступники
- описано
- компьютера
- подробнее
- открытый
- Диверсификация
- домен
- вниз
- Падение
- в течение
- Ранее
- экономику
- Обучение
- обеспечивать
- Предприятие
- безопасность предприятия
- предприятий
- лиц
- средах
- имущество
- Даже
- содействовал
- финансовый
- финансовые услуги
- Фирма
- Компаний
- First
- форумы
- найденный
- доля
- Франция
- от
- топливо
- будущее
- Gain
- Дайте
- группы
- Группы
- Расти
- Рост
- взрослый
- Рост
- Половина
- имеющий
- High
- наивысший
- Hive
- HTTPS
- Сотни
- немедленно
- in
- включены
- Увеличение
- информация
- информационная технология
- начальный
- пример
- страхование
- Интеллекта
- вовлеченный
- IT
- Фамилия
- В прошлом году
- Поздно
- запуск
- Лидеры
- искать
- основной
- Большинство
- управление
- производство
- многих
- рынок
- рынки
- Области применения:
- Участники
- БОЛЕЕ
- самых
- с разными
- почти
- сеть
- сетей
- Новые
- примечательный
- отметил,
- номер
- предлагают
- предложенный
- предлагающий
- Предложения
- Масло
- производители нефти
- ONE
- операционный
- Операционный отдел
- Операторы
- организации
- Другие контрактные услуги
- Панели
- мимо
- процент
- период
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Играть
- предварительно
- цена
- Цены
- частная
- Производители
- предложение.
- протокол
- обеспечивать
- при условии
- Недвижимости
- покупки
- толкнул
- Квантовый
- Четверть
- САЙТ
- вымогателей
- Атаки вымогателей
- реальные
- недвижимость
- Связанный
- относительно
- выпустил
- удаленные
- отчету
- исследованиям
- исследователи
- правые
- Роли
- корень
- Сказал
- sale
- главная
- то же
- Во-вторых
- безопасность
- продаем
- Серверы
- Услуги
- сессиях
- несколько
- острый
- аналогичный
- небольшой
- So
- проданный
- некоторые
- Space
- специализироваться
- указанный
- стандарт
- и политические лидеры
- заявление
- украли
- удар
- Кабинет
- последующее
- такие
- ПОТ
- системы
- цель
- команды
- Технический
- Технологии
- Telegram
- Ассоциация
- мир
- их
- На этой неделе
- угроза
- угрозы
- в
- топ
- Типы
- Uk
- Украина
- использование
- ценностное
- Огромная
- жертвы
- VPN
- Виртуальные частные сети
- Смотреть
- Web
- неделя
- который
- КТО
- готовый
- без
- Работа
- Мир
- год
- лет
- зефирнет