ชื่ออย่างเช่น Novelli, orangecake, Pirat-Networks, SubComandanteVPN และ zirochka ไม่น่าจะมีความหมายอะไรกับทีมรักษาความปลอดภัยขององค์กรส่วนใหญ่ แต่สำหรับผู้ให้บริการแรนซัมแวร์และอาชญากรไซเบอร์รายอื่นที่ต้องการเข้าถึงเครือข่ายองค์กรอย่างรวดเร็ว โบรกเกอร์ที่จะเข้าใกล้ส่วนใหญ่ของปีที่แล้ว
ระหว่างพวกเขา หน่วยงานทั้งห้าคิดเป็นประมาณ 25% ของข้อเสนอการเข้าถึงเครือข่ายองค์กรทั้งหมดที่มีขายในฟอรัมใต้ดินระหว่างช่วงครึ่งหลังของปี 2021 ถึงช่วงครึ่งแรกของปี 2022 ในราคาเฉลี่ยประมาณ 2,800 ดอลลาร์ สิ่งเหล่านี้จึง- เรียกว่าโบรกเกอร์การเข้าถึงเริ่มต้น (IAB) ขาย VPN ที่ถูกขโมยและรายละเอียดบัญชีโปรโตคอลเดสก์ท็อประยะไกล (RDP) และข้อมูลรับรองอื่น ๆ ที่อาชญากรสามารถใช้เพื่อเจาะเข้าไปในเครือข่ายขององค์กรกว่า 2,300 แห่งทั่วโลกโดยไม่ต้องเหนื่อย
ตลาดที่กว้างใหญ่และกำลังเติบโต
ผู้ดำเนินการทั้งห้าเป็นผู้นำในตลาดที่ใหญ่กว่าและเติบโตอย่างรวดเร็วของ IAB ที่คล้ายกันหลายร้อยแห่งที่บริษัทรักษาความปลอดภัย Group-IB ค้นพบเมื่อทำการวิจัยสำหรับ รายงานประจำปีครั้งที่ 11 เกี่ยวกับอาชญากรรมทางเทคโนโลยีขั้นสูงวางจำหน่ายในสัปดาห์นี้
การวิจัยของบริษัทแสดงให้เห็นว่าจำนวน IAB ที่ดำเนินงานในฟอรัมและตลาดใต้ดินเพิ่มขึ้นอย่างมากเมื่อเทียบกับปีที่แล้ว จาก 262 แห่งในช่วง 12 เดือนก่อนหน้าเป็น 380 แห่งในช่วงครึ่งหลังของปี 2021 และช่วงครึ่งแรกของปี พ.ศ. 2022 IAB ประมาณ 327 ลำที่ Group-IB สังเกตการดำเนินงานในช่วงเวลานั้นเป็นรายการใหม่ในพื้นที่
นักวิจัยของ Group-IB ยังพบว่าจำนวนประเทศที่ถูกบุกรุกนั้นเพิ่มขึ้น 41% จาก 68 ปีก่อนหน้าเป็น 96 ในช่วงเวลาที่ทำการศึกษา เกือบหนึ่งในสี่ — 24% — ของข้อเสนอการเข้าถึงครั้งแรกทั้งหมดเกี่ยวข้องกับเครือข่ายขององค์กรในสหรัฐฯ ประเทศอื่นๆ ที่มีจำนวนเหยื่อค่อนข้างสูง ได้แก่ บราซิล แคนาดา ฝรั่งเศส และสหราชอาณาจักร
Dmitry Volkov, CEO ของ เตือน Group-IB ในแถลงการณ์ที่มาพร้อมกับรายงานฉบับใหม่
“โบรกเกอร์ที่เข้าถึงเบื้องต้นมีบทบาทเป็นผู้ผลิตน้ำมันสำหรับเศรษฐกิจใต้ดินทั้งหมด” เขากล่าว “พวกมันเป็นเชื้อเพลิงและอำนวยความสะดวกในการดำเนินการของอาชญากรอื่นๆ เช่น แรนซัมแวร์และศัตรูของรัฐชาติ”
“ช่างทำกุญแจฉวยโอกาสแห่งโลกความปลอดภัย”
คุณค่าที่นำเสนอของ IABs ในระบบเศรษฐกิจอาชญากรรมไซเบอร์คือการที่พวกเขาช่วยให้อาชญากรไซเบอร์รายอื่น ๆ สามารถตั้งหลักได้อย่างง่ายดายบนเครือข่ายเป้าหมายโดยไม่ต้องดำเนินการใด ๆ ล่วงหน้า IAB ทำงานด้านเทคนิคในการเจาะเครือข่ายและขโมยข้อมูลรับรอง — เช่น ที่เกี่ยวข้องกับ VPN, บริการ RDP, Active Directory และแผงการจัดการระยะไกล — ซึ่งให้การเข้าถึงในภายหลัง บ่อยครั้ง พวกเขาสามารถทิ้ง Web shells บนเครือข่ายที่ถูกบุกรุกเพื่อให้แน่ใจว่ามีการเข้าถึงอย่างต่อเนื่องในอนาคต จากนั้นจึงขาย Web shell ในรายงานปีที่แล้ว นักวิจัยจาก Threat Analysis Group ของ Google อธิบายว่า IABs เป็น "ช่างทำกุญแจฉวยโอกาสของโลกความปลอดภัย” ซึ่งเชี่ยวชาญในการทำลายเป้าหมายและเสนอการเข้าถึงเป้าหมายให้กับผู้เสนอราคาสูงสุด
ขับเคลื่อนเศรษฐกิจแรนซัมแวร์
IAB เสนอสินค้าของตนให้กับทุกคนที่ต้องการซื้อ และตลาดสำหรับบริการของพวกเขา ได้เติบโตอย่างรวดเร็ว ในช่วงสองปีที่ผ่านมา แต่ลูกค้ารายใหญ่ที่สุดของพวกเขาคือผู้ให้บริการแรนซัมแวร์
การศึกษาใหม่โดยบริษัทข่าวกรองภัยคุกคาม KELA แสดงให้เห็นว่าการโจมตีด้วยแรนซัมแวร์ที่สำคัญหลายกลุ่มที่เกี่ยวข้องกับกลุ่มต่างๆ เช่น Hive, Sodinokibi, BlackByte และ Quantum เริ่มต้นด้วยการเข้าถึงเครือข่ายจาก IAB ในกรณีหนึ่ง สมาชิกของกลุ่ม Conti ransomware เข้าร่วม IAB เพื่อกำหนดเป้าหมายองค์กรในยูเครน
" เหตุการณ์ที่น่าสังเกตมากที่สุด มีความเกี่ยวข้องกับการโจมตี Medibank ซึ่งเป็นผู้ให้บริการประกันภัยของออสเตรเลีย ซึ่งถูกโจมตีหลังจากการเข้าถึงเครือข่ายของบริษัทถูกขายผ่านช่องทางโทรเลขส่วนตัว” KELA กล่าว
นักวิจัยของ Group-IB พบว่า 70% ของประเภทการเข้าถึงที่ IAB นำเสนอคือรายละเอียดบัญชี RDP และ VPN ข้อเสนอจำนวนมาก — 47% — เกี่ยวข้องกับการเข้าถึงด้วยสิทธิ์ของผู้ดูแลระบบบนเครือข่ายที่ถูกบุกรุก โฆษณา 23 เปอร์เซ็นต์ที่มีการระบุสิทธิ์เกี่ยวข้องกับสิทธิ์การดูแลระบบโดเมน XNUMX% มีสิทธิ์การใช้งานมาตรฐาน และเศษส่วนเล็กน้อยให้สิทธิ์การเข้าถึงบัญชีรูท
นักวิจัย Group-IB ยังพบโฆษณา IAB สำหรับการเข้าถึงสภาพแวดล้อม Citrix แผงเว็บหลายชุดสำหรับเซิร์ฟเวอร์ CMS และคลาวด์ และ Web shell บนระบบที่ถูกบุกรุก ในบางกรณี IAB เสนอที่จะเปิดตัวเพย์โหลดการเคลื่อนไหวด้านข้าง เช่น เซสชัน Cobalt Strike Beacon หรือ Metasploit ในนามของผู้ซื้อ แต่ข้อเสนอสำหรับข้อมูลรับรองและบริการเหล่านี้มักจะพบได้น้อยกว่าข้อเสนอที่เกี่ยวข้องกับข้อมูลรับรอง RDP และ VPN
องค์กรที่ข้อเสนอการเข้าถึงมีอยู่ทั่วไปในฟอรัมใต้ดินและตลาดกลาง ได้แก่ บริษัทผู้ผลิต บริษัทบริการทางการเงิน องค์กรอสังหาริมทรัพย์ การศึกษา และบริษัทเทคโนโลยีสารสนเทศ
Group-IB พบว่าการเพิ่มขึ้นอย่างมากของจำนวนหน่วยงานที่ดำเนินการในพื้นที่ IAB ในช่วงระยะเวลาของการศึกษาได้ผลักดันให้ราคาสำหรับการเข้าถึงครั้งแรกส่วนใหญ่ลดลง
ราคาเฉลี่ยที่ 2,800 ดอลลาร์ที่บริษัทสังเกตเห็นนั้น ในความเป็นจริงแล้ว น้อยกว่าครึ่งหนึ่งของราคา 6,500 ดอลลาร์ที่ IAB เคยเรียกเก็บโดยเฉลี่ยสำหรับการเข้าถึงเดียวกันในปีก่อนหน้านี้
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/threat-intelligence/initial-access-broker-market-booms-poses-growing-threat-to-enterprise-orgs-
- 2021
- 2022
- 2023
- 7
- a
- เข้า
- ลงชื่อเข้าใช้
- คล่องแคล่ว
- การบริหาร
- หลังจาก
- ทั้งหมด
- การวิเคราะห์
- และ
- ประจำปี
- ทุกคน
- เข้าใกล้
- รอบ
- ที่เกี่ยวข้อง
- โจมตี
- การโจมตี
- ชาวออสเตรเลีย
- ใช้ได้
- เฉลี่ย
- กระโจมไฟ
- ระหว่าง
- ที่ใหญ่กว่า
- ที่ใหญ่ที่สุด
- บราซิล
- ทำลาย
- หมดสภาพ
- โบรกเกอร์
- โบรกเกอร์
- แคนาดา
- หมวดหมู่
- ผู้บริหารสูงสุด
- ช่อง
- รับผิดชอบ
- เมฆ
- ซม
- โคบอลต์
- ร่วมกัน
- อย่างธรรมดา
- บริษัท
- บริษัท
- ที่ถูกบุกรุก
- การดำเนิน
- คอนติ
- ต่อ
- ได้
- ประเทศ
- หนังสือรับรอง
- อาชญากร
- ลูกค้า
- อาชญากรรม
- อาชญากรไซเบอร์
- อธิบาย
- เดสก์ท็อป
- รายละเอียด
- ค้นพบ
- กระจาย
- โดเมน
- ลง
- หล่น
- ในระหว่าง
- ก่อน
- เศรษฐกิจ
- การศึกษา
- ทำให้มั่นใจ
- Enterprise
- ความปลอดภัยขององค์กร
- ผู้ประกอบการ
- หน่วยงาน
- สภาพแวดล้อม
- ที่ดิน
- แม้
- อำนวยความสะดวก
- ทางการเงิน
- บริการทางการเงิน
- บริษัท
- บริษัท
- ชื่อจริง
- ฟอรั่ม
- พบ
- เศษ
- ฝรั่งเศส
- ราคาเริ่มต้นที่
- เชื้อเพลิง
- อนาคต
- ได้รับ
- ให้
- บัญชีกลุ่ม
- กลุ่ม
- ขึ้น
- การเจริญเติบโต
- เจริญเติบโต
- การเจริญเติบโต
- ครึ่ง
- มี
- จุดสูง
- ที่สูงที่สุด
- รัง
- HTTPS
- ร้อย
- ทันที
- in
- รวม
- เพิ่ม
- ข้อมูล
- เทคโนโลยีสารสนเทศ
- แรกเริ่ม
- ตัวอย่าง
- ประกัน
- Intelligence
- ร่วมมือ
- IT
- ชื่อสกุล
- ปีที่แล้ว
- ปลาย
- เปิดตัว
- ผู้นำ
- ที่ต้องการหา
- สำคัญ
- ส่วนใหญ่
- การจัดการ
- การผลิต
- หลาย
- ตลาด
- ตลาด
- ตลาด
- สมาชิก
- ข้อมูลเพิ่มเติม
- มากที่สุด
- หลาย
- เกือบทั้งหมด
- เครือข่าย
- เครือข่าย
- ใหม่
- โดดเด่น
- เด่น
- จำนวน
- เสนอ
- เสนอ
- การเสนอ
- เสนอ
- น้ำมัน
- ผู้ผลิตน้ำมัน
- ONE
- การดำเนินงาน
- การดำเนินการ
- ผู้ประกอบการ
- องค์กร
- อื่นๆ
- แผง
- อดีต
- รูปแบบไฟล์ PDF
- เปอร์เซ็นต์
- ระยะเวลา
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เล่น
- ก่อนหน้านี้
- ราคา
- ราคา
- ส่วนตัว
- ผู้ผลิต
- ประพจน์
- โปรโตคอล
- ให้
- ให้
- ผู้จัดหา
- ซื้อ
- ผลักดัน
- ควอนตัม
- หนึ่งในสี่
- รวดเร็ว
- ransomware
- การโจมตีของแรนซัมแวร์
- จริง
- อสังหาริมทรัพย์
- ที่เกี่ยวข้อง
- สัมพัทธ์
- การเผยแพร่
- รีโมท
- รายงาน
- การวิจัย
- นักวิจัย
- สิทธิ
- บทบาท
- ราก
- กล่าวว่า
- การขาย
- ขาย
- เดียวกัน
- ที่สอง
- ความปลอดภัย
- ขาย
- เซิร์ฟเวอร์
- บริการ
- ครั้ง ราคา
- หลาย
- คม
- คล้ายคลึงกัน
- เล็ก
- So
- ขาย
- บาง
- ช่องว่าง
- มีความเชี่ยวชาญ
- ที่ระบุไว้
- มาตรฐาน
- ข้อความที่เริ่ม
- คำแถลง
- ที่ถูกขโมย
- โขก
- ศึกษา
- ภายหลัง
- อย่างเช่น
- เหงื่อ
- ระบบ
- เป้า
- ทีม
- วิชาการ
- เทคโนโลยี
- Telegram
- พื้นที่
- โลก
- ของพวกเขา
- ในสัปดาห์นี้
- การคุกคาม
- ภัยคุกคาม
- ไปยัง
- ด้านบน
- ชนิด
- Uk
- ประเทศยูเครน
- ใช้
- ความคุ้มค่า
- กว้างใหญ่
- ผู้ที่ตกเป็นเหยื่อ
- VPN
- VPNs
- นาฬิกา
- เว็บ
- สัปดาห์
- ที่
- WHO
- เต็มใจ
- ไม่มี
- งาน
- โลก
- ปี
- ปี
- ลมทะเล