Eine Analyse der Erstzugriffsbroker erklärt, wie sie in gefährdete Organisationen eindringen und ihren Zugang für bis zu 10,000 US-Dollar verkaufen.
Ransomware-Betreiber, die nach Opfern suchen, können sie im Dark Web finden, wo Erstzugriffsbroker Einträge veröffentlichen, die vage Beschreibungen von Unternehmen enthalten, gegen die sie verstoßen haben.
Erstzugriffsbroker, die „Zwischenhändler“ von Ransomware-Angriffen, haben einen Anstieg der Nachfrage nach ihren Diensten festgestellt, da Ransomware-as-a-Service (RaaS) immer beliebter wird. Laut Forschern von Digital Shadows, die heute eine Analyse dieser Bedrohungsakteure veröffentlicht haben, haben ihre Listings in den letzten zwei Jahren stetig zugenommen, mit einem deutlichen Anstieg in den letzten sechs Monaten.
Die Aufgabe eines Erstzugriffsbrokers besteht darin, die anfänglichen Anforderungen eines Angriffs zu bewältigen und den Prozess zu optimieren, damit RaaS-Betreiber eine erfolgreiche Infektion starten können. Die zunehmende Abhängigkeit von RaaS hat einen Markt geschaffen, in dem Erstzugangsmakler florieren können, erklärt Alec Alvarado, Leiter des Bedrohungsinformationsteams.
"Es wird viel Druck auf Ransomware-Partner ausgeübt, Ransomware-Entwickler mit Opfern zu versorgen, um Cashflow zu generieren", sagt er. "Wenn ein Partner die Anforderungen des Entwicklers nicht erfüllt, wird er vom Partnerprogramm gebootet und verliert Geld."
Der Prozess beginnt mit der Identifizierung gefährdeter Ziele, die Broker häufig wahllos mit Open-Source-Port-Scan-Tools wie Shodan oder Masscan durchführen. Sie können auch Tools zum Scannen von Sicherheitslücken verwenden, um nach ihrem Gateway zu einer Zielorganisation zu suchen, fügt Alvarado hinzu.
In den meisten Fällen identifizieren Angreifer Opfer, bei denen das Remotedesktopprotokoll (RDP) dem Internet ausgesetzt ist. Forscher haben auch den Zugriff auf Citrix-Gateways und Domänencontroller-Zugriffe in ersten Zugriffslisten im Dark Web beobachtet. Der Citrix-Zugriff kann erhalten werden, indem das Citrix-Gateway brutal gezwungen wird, Remotezugriff bereitzustellen oder bekannte Schwachstellen in Citrix-Produkten auszunutzen.
Sobald sie ihren ersten Halt gefunden haben, erkunden die Broker für den Erstzugriff das Netzwerk sorgfältig. Sie können versuchen, Berechtigungen zu eskalieren oder sich seitlich zu bewegen, um zu sehen, auf wie viele Daten sie zugreifen können. Damit organisieren sie ihre Zugangsinformationen, verpacken sie in ein vorzeigbares Produkt und finden heraus, wie viel Geld sie damit im kriminellen Untergrund verdienen können.
Diese Auflistungen können in allen kriminellen Foren wie den russischen Sprachforen XSS und Exploit gefunden werden, sagt Alvarado. Einige Foren haben damit begonnen, spezielle Abschnitte für Zugriffslisten zu erstellen.
Der Preis für jede Auflistung kann zwischen 500 und 10,000 USD liegen. Forscher berichten, abhängig von der erhaltenen Zugriffsebene und der gefährdeten Organisation. Der Zugang zu großen Unternehmen mit höheren Einnahmen wird den Zugangspreis erhöhen. Je höher der Umsatz, desto höher die Lösegeldforderung.
„Beträchtlich organisierte und maßgeschneiderte Zugriffe, die nur einen minimalen Aufwand erfordern, um einen Angriff abzuschließen, sind in der Regel mit höheren Kosten verbunden, da der größte Teil der Arbeit zu diesem Zeitpunkt abgeschlossen wurde“, erklärt Alvarado. "Wenn der Zugriff einen großen Teil des Netzwerks mit mehreren Hosts umfasst, werden die Zugriffskosten erhöht."
Die Käufer des Erstzugriffs können weit mehr als nur einen Ransomware-Angriff starten. Sie können auch Unternehmensspionage betreiben, sich seitlich bewegen, Privilegien eskalieren oder langfristig im Netzwerk bleiben, um die Techniken des Lebens außerhalb des Landes zu nutzen.
Wie viele Informationen sind zu viel?
Makler müssen beim Schreiben einer Zugangsliste ein empfindliches Gleichgewicht finden. Sie könnten den Wert ihres Zugangs detailliert beschreiben, um mehr Aufmerksamkeit zu erlangen und den Preis zu steigern. Weitere Informationen können jedoch auf Sicherheitsforscher hinweisen, die das Opfer identifizieren und den Zugriff entfernen können, bevor es ausgenutzt wird.
Einige Broker gehen auf Nummer sicher, indem sie die Beschreibung auf vage Daten beschränken, die auf Zoominfo gefunden wurden, einer Website mit Geschäftsinformationen wie Unternehmensumsatz und Mitarbeiterzahl. Dies zeigt potenziellen Käufern, wie lukrativ ein Angriff sein kann, ohne zu viele Informationen weiterzugeben. Broker haben auch Teile des Börsentickersymbols eines Unternehmens oder des Landes, in dem es tätig ist, aufgenommen.
Die subtile Natur ihrer Aktivität und der Mangel an Details in Auflistungen machen es schwierig, einen Erstzugriffsbroker zu finden. Rote Fahnen können Hinweise auf Brute-Force-Versuche gegen RDP-Server, mehrere fehlgeschlagene Authentifizierungsversuche oder Hinweise auf Versuche zur Eskalation von Berechtigungen oder seitliche Bewegungen enthalten, sagt Alvarado. Insgesamt können diese Broker ohne großes Risiko operieren, da sie die endgültige Kampagne nicht starten und wahrscheinlich eine Auszahlung sehen.
"Sie führen keine Angriffe durch und sind passiver", stellt er fest. "Aus Sicht von Risiko und Belohnung ist die Belohnung wahrscheinlich und das Risiko gering."
Kelly Sheridan ist Staff Editor bei Dark Reading, wo sie sich auf Nachrichten und Analysen zur Cybersicherheit konzentriert. Sie ist eine Journalistin für Wirtschaftstechnologie, die zuvor für InformationWeek, wo sie über Microsoft berichtete, und Insurance & Technology, wo sie über finanzielle… Vollständige Biographie anzeigen
Empfohlene Lektüre:
Weitere Einblicke
