Een analyse van initiële toegangsmakelaars legt uit hoe ze inbreken in kwetsbare organisaties en hun toegang verkopen voor maximaal $ 10,000.
Ransomware-operators die op zoek zijn naar slachtoffers, kunnen ze vinden op het Dark Web, waar initiële toegangsmakelaars lijsten publiceren met vage beschrijvingen van bedrijven die ze hebben weten te schenden.
Initiële toegangsmakelaars, de "tussenpersonen" van ransomware-aanvallen, hebben gemerkt dat de vraag naar hun diensten stijgt naarmate ransomware-as-a-service (RaaS) aan populariteit wint. Hun lijsten zijn de afgelopen twee jaar gestaag toegenomen, met een aanzienlijke piek in de afgelopen zes maanden, volgens Digital Shadows-onderzoekers die vandaag een analyse van deze bedreigingsactoren hebben gepubliceerd.
De taak van een initiële access broker is om de initiële vereisten van een aanval af te handelen en het proces te stroomlijnen, zodat RaaS-operators een succesvolle infectie kunnen lanceren. De groeiende afhankelijkheid van RaaS heeft een markt gecreëerd voor initiële toegangsmakelaars, legt Alec Alvarado, leider van het dreigingsinformatieteam, uit.
"Er wordt veel druk uitgeoefend op ransomware-affiliates om ransomware-ontwikkelaars te voeden met slachtoffers om zo cashflow te genereren", zegt hij. "Als een partner niet voldoet aan de behoeften van de ontwikkelaar, wordt hij opgestart vanuit het partnerprogramma, waardoor hij geld verliest."
Het proces begint met het identificeren van kwetsbare doelwitten, wat makelaars vaak zonder onderscheid doen met open source-poortscantools zoals Shodan of Masscan. Ze kunnen ook tools voor het scannen van kwetsbaarheden gebruiken om hun toegangspoort tot een doelorganisatie te zoeken, voegt Alvarado toe.
In de meeste gevallen identificeren aanvallers slachtoffers van wie Remote Desktop Protocol (RDP) is blootgesteld aan internet. Onderzoekers hebben ook toegang tot Citrix-gateways en toegang tot domeincontrollers waargenomen in initiële toegangslijsten op het Dark Web. Citrix-toegang kan worden verkregen door de Citrix-gateway brute te forceren om externe toegang te bieden of bekende kwetsbaarheden in Citrix-producten te misbruiken.
Zodra ze hun eerste voet aan de grond hebben gevonden, verkennen initiële toegangsmakelaars het netwerk zorgvuldig. Ze kunnen proberen de rechten te escaleren of lateraal te verplaatsen om te zien tot hoeveel gegevens ze toegang hebben. Met deze complete, organiseren ze hun toegangsinformatie, verpakken deze in een presentabel product en zoeken ze uit hoeveel geld het hen kan verdienen op de criminele underground.
Deze lijsten zijn te vinden op alle criminele fora, zoals de Russische forums XSS en Exploit, zegt Alvarado. Sommige forums zijn begonnen met het maken van speciale secties voor toegangslijsten.
De prijs van elke vermelding kan variëren van $ 500 tot $ 10,000 USD, onderzoekers melden, afhankelijk van het verkregen toegangsniveau en de gecompromitteerde organisatie. Toegang tot grote bedrijven met hogere inkomsten zal de toegangsprijs verhogen. Hoe hoger de inkomsten, hoe hoger de vraag naar losgeld.
"Aanzienlijk georganiseerde en op maat gemaakte toegangen die minimale inspanning vergen om een aanval te voltooien, zullen doorgaans hogere kosten met zich meebrengen, aangezien het meeste werk op dat moment is voltooid", legt Alvarado uit. "Bovendien, als de toegang een groot deel van het netwerk met meerdere hosts omvat, zal dit de toegangskosten verhogen."
De kopers van eerste toegang kunnen veel meer doen dan een ransomwareaanval starten. Ze kunnen ook bedrijfsspionage uitvoeren, lateraal verhuizen, privileges escaleren of langdurig op het netwerk blijven om te profiteren van technieken die van het land leven.
Hoeveel informatie is teveel?
Makelaars moeten een delicaat evenwicht vinden bij het schrijven van een toegangslijst. Ze zouden de waarde van hun toegang kunnen specificeren om meer aandacht te krijgen en het prijskaartje te verhogen; meer informatie kan echter beveiligingsonderzoekers overtuigen, die het slachtoffer kunnen identificeren en de toegang kunnen intrekken voordat het wordt misbruikt.
Sommige makelaars spelen op safe door de beschrijving te beperken tot vage gegevens die te vinden zijn op Zoominfo, een site met zakelijke informatie zoals bedrijfsinkomsten en het aantal werknemers. Dit vertelt potentiële kopers hoe lucratief een aanval kan zijn zonder al te veel informatie te delen. Makelaars hebben ook delen van het aandelensymbool van een bedrijf of het land waarin het actief is, opgenomen.
De subtiele aard van hun activiteit en het gebrek aan details in lijsten maken het moeilijk om een eerste toegangsmakelaar te vinden. Rode vlaggen kunnen het bewijs zijn van brute-force-pogingen tegen RDP-servers, meerdere mislukte authenticatiepogingen of bewijs van escalatiepogingen of laterale verplaatsing, zegt Alvarado. Over het algemeen kunnen deze makelaars zonder veel risico werken omdat ze de laatste campagne niet lanceren en waarschijnlijk een uitbetaling zullen zien.
"Ze voeren geen aanvallen uit en zijn passiever", merkt hij op. "Vanuit het oogpunt van risico versus beloning is de beloning waarschijnlijk en het risico laag."
Kelly Sheridan is de stafredacteur bij Dark Reading, waar ze zich richt op nieuws en analyse op het gebied van cyberbeveiliging. Ze is een bedrijfstechnologiejournalist die eerder verslag deed van InformationWeek, waar ze verslag deed van Microsoft, en Insurance & Technology, waar ze financiële ... Bekijk volledige bio
Aanbevolen literatuur:
Meer inzichten
