Namn som Novelli, orangecake, Pirat-Networks, SubComandanteVPN och zirochka kommer sannolikt inte att betyda något för en stor majoritet av företagssäkerhetsteam. Men för ransomware-operatörer och andra cyberkriminella som letar efter snabb åtkomst till företagsnätverk var dessa d mäklare att närma sig under en stor del av förra året.
Tillsammans stod de fem enheterna för cirka 25 % av alla åtkomsterbjudanden till företagsnätverk som var tillgängliga för försäljning på underjordiska forum mellan andra halvan av 2021 och första halvan av 2022. För ett genomsnittspris på cirka 2,800 2,300 USD, kallade initial access brokers (IAB) sålde stulna VPN- och RDP-kontodetaljer (Remote Desktop Protocol) och andra referenser som brottslingar kunde använda för att bryta sig in i nätverken hos mer än XNUMX XNUMX organisationer runt om i världen, utan att svettas.
En stor och växande marknadsplats
De fem operatörerna var ledare på en mycket större och snabbväxande marknad av hundratals andra liknande IAB:er som säkerhetsföretaget Group-IB upptäckte när de genomförde forskning för sina 11:e årsrapporten om högteknologisk brottslighet, släppt den här veckan.
Företagets undersökningar visade en kraftig tillväxt från år till år i antalet IAB:s som verkar på underjordiska forum och marknader — från 262 under den närmast föregående 12-månadersperioden till 380 under perioden mellan andra halvan av 2021 och första halvan av 2022. Cirka 327 av de IABs som Group-IB observerade fungerade under den perioden var nya poster i utrymmet.
Group-IB-forskare upptäckte också en ökning med 41 % av antalet länder som komprometterade enheter tillhörde – från 68 ett år tidigare till 96 under studieperioden. Nästan en fjärdedel – 24 % – av alla initiala accesserbjudanden involverade nätverk av USA-baserade organisationer. Andra länder med ett relativt stort antal offer var Brasilien, Kanada, Frankrike och Storbritannien.
"När tillgångsförsäljningen fortsätter att växa och diversifieras, är IABs ett av de största hoten att se under 2023," varnade Dmitry Volkov, VD för Group-IB, i ett uttalande som åtföljer den nya rapporten.
"Initial access mäklare spelar rollen som oljeproducenter för hela underjordiska ekonomin," noterade han. "De underblåser och underlättar operationer för andra brottslingar, såsom ransomware och nationalstatsfiender."
"Opportunistiska låssmeder i säkerhetsvärlden"
Värdet för IAB:s inom cyberbrottsekonomin är att de ger andra cyberkriminella ett sätt att få ett enkelt fotfäste på ett målnätverk utan att de behöver göra något benarbete i förväg. IAB:er gör det tekniska arbetet med att bryta sig in i ett nätverk och stjäla referenser - som de som är associerade med VPN, RDP-tjänster, Active Directory och fjärrhanteringspaneler - som ger efterföljande åtkomst till det. Ofta kan de släppa webbskal på ett komprometterat nätverk för att säkerställa beständig framtida åtkomst till det och sedan sälja webbskalen. I en rapport förra året beskrev forskare från Googles Threat Analysis Group IABs som "opportunistiska låssmeder i säkerhetsvärlden” som är specialiserade på att överträda ett mål och erbjuda tillgång till det till högstbjudande.
Att driva på Ransomware-ekonomin
IABs erbjuder sina varor till alla som är villiga att köpa dem, och marknaden för deras tjänster har vuxit snabbt under de senaste två åren eller så. Men deras största kunder på senare tid har varit ransomware-operatörer.
En ny studie av hotintelligence-företaget KELA visade att flera stora ransomware-attacker som involverade grupper som Hive, Sodinokibi, BlackByte och Quantum började med nätverksåtkomst från en IAB. I ett fall medlemmar av Conti ransomware-gruppen gick med i ett IAB att rikta in sig på organisationer i Ukraina.
"The mest anmärkningsvärda händelsen var relaterad till attacken på Medibank, en australiensisk försäkringsleverantör, som attackerades efter att nätverksåtkomst till företaget sålts på en privat Telegram-kanal, säger KELA.
Group-IB:s forskare fann att 70 % av de åtkomsttyper som IAB erbjöd var RDP- och VPN-kontouppgifter. Många av erbjudandena – 47 % – involverade åtkomst med administratörsrättigheter på det komprometterade nätverket. Tjugoåtta procent av annonserna där rättigheterna angavs involverade domänadministratörsrättigheter, 23 % hade standardanvändningsrättigheter och en liten bråkdel gav åtkomst till root-kontot.
Group-IB-forskare hittade också IAB-annonser för åtkomst till Citrix-miljöer, flera webbpaneler för CMS och molnservrar och webbskal på komprometterade system. I vissa fall erbjöd sig IAB:er till och med att lansera nyttolaster för sidorörelser som Cobalt Strike Beacon eller Metasploit-sessioner på uppdrag av köparen. Men erbjudanden för dessa referenser och tjänster tenderade att vara mindre vanliga än de som involverade RDP- och VPN-referenser.
Organisationer för vilka tillgångserbjudanden var vanligast tillgängliga i underjordiska forum och marknadsplatser var tillverkningsföretag, finansiella tjänsteföretag, fastighetsorganisationer, utbildnings- och informationsteknikföretag.
Group-IB fann att den kraftiga ökningen av antalet enheter som verkar i IAB-området under studieperioden hade pressat ned priserna för de flesta kategorier av initial access.
Det genomsnittliga priset på 2,800 6,500 USD som företaget observerade var i själva verket mindre än hälften av de XNUMX XNUMX USD som IAB:er brukade ta ut i genomsnitt för samma åtkomst ett år tidigare.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://www.darkreading.com/threat-intelligence/initial-access-broker-market-booms-poses-growing-threat-to-enterprise-orgs-
- 2021
- 2022
- 2023
- 7
- a
- tillgång
- Konto
- aktiv
- administrering
- Efter
- Alla
- analys
- och
- årsringar
- någon
- tillvägagångssätt
- runt
- associerad
- attackera
- Attacker
- australier
- tillgänglig
- genomsnitt
- beacon
- mellan
- större
- störst
- Brasilien
- Ha sönder
- Breaking
- mäklare
- mäklare
- Kanada
- kategorier
- VD
- Kanal
- laddning
- cloud
- cms
- Kobolt
- Gemensam
- vanligen
- Företag
- företag
- Äventyras
- ledande
- Conti
- fortsätta
- kunde
- länder
- referenser
- brottslingar
- Kunder
- cyberbrottslighet
- nätbrottslingar
- beskriven
- desktop
- detaljer
- upptäckt
- diversifiera
- domän
- ner
- Drop
- under
- Tidigare
- ekonomi
- Utbildning
- säkerställa
- Företag
- företagets säkerhet
- företag
- enheter
- miljöer
- fastigheter
- Även
- främja
- finansiella
- finansiella tjänster
- Firm
- företag
- Förnamn
- forum
- hittade
- fraktion
- Frankrike
- från
- Bränsle
- framtida
- Få
- Ge
- Grupp
- Gruppens
- Väx
- Odling
- vuxen
- Tillväxt
- Hälften
- har
- Hög
- högsta
- Bikupa
- HTTPS
- Hundratals
- blir omedelbart
- in
- ingår
- Öka
- informationen
- informationsteknologi
- inledande
- exempel
- försäkring
- Intelligens
- involverade
- IT
- Efternamn
- Förra året
- Sent
- lansera
- ledare
- du letar
- större
- Majoritet
- ledning
- Produktion
- många
- marknad
- marknads
- Marknader
- Medlemmar
- mer
- mest
- multipel
- nästan
- nät
- nätverk
- Nya
- anmärkningsvärd
- noterade
- antal
- erbjudanden
- erbjuds
- erbjuda
- Erbjudanden
- Olja
- oljeproducenter
- ONE
- drift
- Verksamhet
- operatörer
- organisationer
- Övriga
- paneler
- Tidigare
- procent
- perioden
- plato
- Platon Data Intelligence
- PlatonData
- Spela
- tidigare
- pris
- Priser
- privat
- producenter
- förslag
- protokoll
- ge
- förutsatt
- leverantör
- inköp
- sköt
- Quantum
- Kvartal
- Snabbt
- Ransomware
- Ransomware-attacker
- verklig
- fastigheter
- relaterad
- relativt
- frigörs
- avlägsen
- rapport
- forskning
- forskare
- rättigheter
- Roll
- rot
- Nämnda
- Till Salu
- försäljning
- Samma
- Andra
- säkerhet
- sälja
- Servrar
- Tjänster
- sessioner
- flera
- skarp
- liknande
- Small
- So
- säljs
- några
- Utrymme
- specialisera
- specificerade
- standard
- igång
- .
- stulna
- strejka
- Läsa på
- senare
- sådana
- SVETTAS
- System
- Målet
- lag
- Teknisk
- Teknologi
- Telegram
- Smakämnen
- världen
- deras
- denna vecka
- hot
- hot
- till
- topp
- typer
- Uk
- Ukraina
- användning
- värde
- Omfattande
- offer
- VPN
- VPN
- Kolla på
- webb
- vecka
- som
- VEM
- beredd
- utan
- Arbete
- världen
- år
- år
- zephyrnet