Такі назви, як Novelli, orangecake, Pirat-Networks, SubComandanteVPN і zirochka, навряд чи щось означатимуть для переважної більшості команд безпеки підприємств. Але для операторів програм-вимагачів та інших кіберзлочинців, які шукають швидкий доступ до корпоративних мереж, вони були брокерів для більшої частини минулого року.
На п’ять компаній припадало приблизно 25% усіх пропозицій доступу до корпоративних мереж, які були доступні для продажу на підпільних форумах між другою половиною 2021 року та першою половиною 2022 року. За середньою ціною близько 2,800 доларів США ці так- Брокери початкового доступу (IAB) продавали викрадені дані облікових записів VPN і протоколу віддаленого робочого столу (RDP) та інші облікові дані, які злочинці могли використати для проникнення в мережі понад 2,300 організацій у всьому світі, не потроху потіючи.
Величезний і зростаючий ринок
П’ять операторів були лідерами на значно більшому та швидкозростаючому ринку сотень інших подібних IAB, які виявила охоронна фірма Group-IB, проводячи дослідження для свого 11-й щорічний звіт про злочинність у сфері високих технологій, випущений цього тижня.
Дослідження компанії показали різке щорічне зростання кількості IAB, що працюють на підпільних форумах і ринках — з 262 за останні 12 місяців до 380 за період між другою половиною 2021 року та першою половиною 2022 року. 327. Близько XNUMX IAB, які Group-IB спостерігала за роботою протягом цього періоду, були новими записами в просторі.
Дослідники Group-IB також виявили збільшення на 41% кількості країн, до яких належали скомпрометовані організації — з 68 роком раніше до 96 за період дослідження. Майже чверть — 24% — усіх початкових пропозицій доступу стосувалися мереж американських організацій. Серед інших країн із відносно великою кількістю жертв були Бразилія, Канада, Франція та Великобританія.
«Оскільки продажі доступу продовжують зростати та диверсифікуватися, IAB є однією з головних загроз, на які варто звернути увагу в 2023 році», — попередив Дмитро Волков, генеральний директор компанії Group-IB, у заяві, що супроводжує новий звіт.
«Брокери початкового доступу відіграють роль виробників нафти для всієї тіньової економіки», — зазначив він. «Вони підживлюють і сприяють діяльності інших злочинців, таких як програми-вимагачі та вороги національних держав».
«Опортуністичні слюсарі світу безпеки»
Цінність IAB в економіці кіберзлочинності полягає в тому, що вони дають іншим кіберзлочинцям спосіб легко закріпитися в цільовій мережі без необхідності виконувати будь-яку роботу наперед. IAB виконує технічну роботу зі злому в мережу та викрадення облікових даних — наприклад, пов’язаних із VPN, службами RDP, Active Directory і панелями віддаленого керування — які надають подальший доступ до неї. Часто вони можуть скинути веб-оболонки на скомпрометовану мережу, щоб забезпечити постійний доступ до неї в майбутньому, а потім продати веб-оболонки. У звіті минулого року дослідники з групи аналізу загроз Google описали IAB як «опортуністичні слюсарі світу безпеки», які спеціалізуються на зламуванні цілі та пропонують доступ до неї тим, хто запропонує найвищу ставку.
Розвиток економіки програм-вимагачів
IAB пропонують свої товари кожному, хто бажає їх придбати, а також ринок своїх послуг швидко зросла протягом останніх двох років або близько того. Але останнім часом їх найбільшими клієнтами були оператори програм-вимагачів.
Нове дослідження фірми KELA з аналізу загроз показало, що кілька великих атак програм-вимагачів за участю таких груп, як Hive, Sodinokibi, BlackByte і Quantum, почалися з доступу до мережі з IAB. В одному випадку члени групи програм-вимагачів Conti вступив до IAB цільових організацій в Україні.
" найпомітніший інцидент було пов’язано з атакою на Medibank, австралійську страхову компанію, яка зазнала атаки після того, як доступ до мережі компанії було продано через приватний канал Telegram», – повідомили в KELA.
Дослідники Group-IB виявили, що 70% типів доступу, які пропонували IAB, були деталями облікових записів RDP і VPN. Багато пропозицій — 47% — передбачали доступ із правами адміністратора до скомпрометованої мережі. Двадцять вісім відсотків рекламних оголошень із зазначеними правами передбачали права адміністрування домену, 23% мали стандартні права використання, а невелика частка надавала доступ до кореневого облікового запису.
Дослідники Group-IB також знайшли рекламу IAB для доступу до середовищ Citrix, численних веб-панелей для CMS і хмарних серверів, а також веб-оболонок на скомпрометованих системах. У деяких випадках IAB навіть пропонували запустити від імені покупця корисні навантаження з боковим рухом, такі як Cobalt Strike Beacon або Metasploit. Але пропозиції для цих облікових даних і послуг були менш поширеними, ніж ті, що включають облікові дані RDP і VPN.
Організації, для яких пропозиції доступу найчастіше були доступні на підпільних форумах і ринках, включали виробничі компанії, фірми, що надають фінансові послуги, організації з нерухомості, освітні та інформаційні технологічні фірми.
Group-IB виявила, що різке збільшення кількості суб’єктів, які працюють у просторі IAB протягом періоду дослідження, призвело до зниження цін на більшість категорій початкового доступу.
Середня ціна в 2,800 доларів США, яку спостерігала компанія, фактично була менше половини від 6,500 доларів США, які IAB стягували в середньому за той самий доступ рік тому.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://www.darkreading.com/threat-intelligence/initial-access-broker-market-booms-poses-growing-threat-to-enterprise-orgs-
- 2021
- 2022
- 2023
- 7
- a
- доступ
- рахунки
- активний
- адміністрація
- після
- ВСІ
- аналіз
- та
- щорічний
- будь
- підхід
- навколо
- асоційований
- атака
- нападки
- Австралійський
- доступний
- середній
- маяк
- між
- більший
- найбільший
- Brazil
- Перерва
- Розрив
- брокер
- брокери
- Канада
- категорії
- Генеральний директор
- Канал
- заряд
- хмара
- См
- Кобальт
- загальний
- зазвичай
- Компанії
- компанія
- Компрометація
- Проведення
- Conti
- продовжувати
- може
- країни
- Повноваження
- злочинці
- Клієнти
- кіберзлочинності
- кіберзлочинці
- описаний
- робочий стіл
- деталі
- відкритий
- урізноманітнити
- домен
- вниз
- Падіння
- під час
- Раніше
- економіка
- Освіта
- забезпечувати
- підприємство
- безпека підприємства
- підприємств
- юридичні особи
- середовищах
- майно
- Навіть
- фасилітувати
- фінансовий
- фінансові послуги
- Фірма
- фірми
- Перший
- форуми
- знайдений
- фракція
- Франція
- від
- Паливо
- майбутнє
- Отримувати
- Давати
- Group
- Групи
- Рости
- Зростання
- вирощений
- Зростання
- Половина
- має
- Високий
- найвищий
- Вулик
- HTTPS
- Сотні
- негайно
- in
- включені
- Augmenter
- інформація
- інформаційна технологія
- початковий
- екземпляр
- страхування
- Інтелект
- залучений
- IT
- останній
- Минулого року
- Пізно
- запуск
- Лідери
- шукати
- основний
- Більшість
- управління
- виробництво
- багато
- ринок
- ринки
- ринки
- члени
- більше
- найбільш
- множинний
- майже
- мережу
- мереж
- Нові
- Помітний
- зазначив,
- номер
- пропонувати
- запропонований
- пропонує
- Пропозиції
- Нафта
- виробники нафти
- ONE
- операційний
- операції
- Оператори
- організації
- Інше
- Панелі
- Минуле
- відсотків
- period
- plato
- Інформація про дані Платона
- PlatoData
- Play
- раніше
- price
- ціни
- приватний
- Виробники
- пропозиція
- протокол
- забезпечувати
- за умови
- Постачальник
- покупка
- штовхнув
- Квантовий
- Квартал
- Швидко
- вимагачів
- Вимагальні програми
- реальний
- нерухомість
- пов'язаний
- щодо
- випущений
- віддалений
- звітом
- дослідження
- Дослідники
- праві
- Роль
- корінь
- Зазначений
- sale
- продажів
- то ж
- другий
- безпеку
- продавати
- Сервери
- Послуги
- сесіях
- кілька
- гострий
- аналогічний
- невеликий
- So
- проданий
- деякі
- Простір
- спеціалізуватися
- зазначений
- standard
- почалася
- Заява
- вкрали
- удар
- Вивчення
- наступні
- такі
- ПІТ
- Systems
- Мета
- команди
- технічний
- Технологія
- Telegram
- Команда
- світ
- їх
- На цьому тижні
- загроза
- загрози
- до
- топ
- Типи
- Uk
- Ukraine
- використання
- значення
- величезний
- жертви
- VPN
- VPN
- годинник
- Web
- week
- який
- ВООЗ
- готовий
- без
- Work
- світ
- рік
- років
- зефірнет