近日,网络信息安全企业Kela公布了一份探寻初始访问代理(Initial access brokers,通称IAB)销售市场的调查报告,結果发觉访问网站被黑互联网的平均可变成本为5400美金。
近些年,敲诈勒索saas模式(RaaS)团队对初始访问代理十分有兴趣,由于根据立即雇佣她们或向他们付款访问总体目标系统软件的花费,可以减少许多在总体目标互联网中获得出发点需要的時间、精力和花费。
初始访问代理就是指根据很多种方法获得对受害者互联网初始访问权限的个体或团队。她们最常用的方式便是根据暴力行为访问敏感的远程桌面连接协议书(RDP)或远程管理手机软件。有时,网络攻击还会继续运用体系中未修复的系统漏洞。但是,无论使用哪一种方式,一旦取得成功得到访问权限,这种代理人就可以将其转卖给别人,有时候还不仅转卖一次。
针对互联网犯罪嫌疑人而言,选购现有的企业网络访问权限的优点不言而喻:消费者不用花时间试着鉴别受害者并得到其远程控制访问权限,反而是可以同时从选择项菜单栏中依据收益、我国和单位选择受害者,及其选择必须的远程控制访问种类。
正如网络信息安全企业CrowdStrike所说,当违法犯罪恶意程序营运商选购访问权限时,她们节约了许多鉴别总体目标和获得其访问权限的時间,进而有可以的精力和资金去大量、迅速地布署进攻主题活动,以达到更多的货币化安置发展潜力。
尤其是针对应用勒索病毒的犯罪嫌疑人而言,选购访问权限的花费很有可能仅仅获得保释金的一小部分,可是却帮她们省掉了侵入受害者互联网需要的很多的时间和精力。安全性专业人士表明,从业大中型捕猎主题活动————催毁大中型总体目标以寻找更高的保释金——的团伙会尤其依靠初始访问代理来挑选总体目标和获取权限。
近些年,伴随着应用商业秘密锁住恶意程序网络攻击的要求日渐扩大,初始访问代理的商业运营模式也逐步完善。那麼,初始访问销售市场的现况到底怎样?非洲威胁情报企业Kela核查了以往一年在可公布访问的网络诈骗社区论坛上销售的1,000个访问目录,据悉在其中最少有262个被确定为“已售卖”情况。
依据这种访问目录,Kela发觉了初始访问代理行业的10个主要发展趋势:
1. 访问花费经济实惠
Kela汇报称,在2020年7月1日至2021年6月30日期内,远程控制访问互联网的均价为5,400 美金,而平均数价钱为1,000美金。
访问权限均值市场价为5,400美金,而受害者近期付款的保释金均值为137,000 美金
而依据勒索病毒回应企业Coveware的资料显示,2022年第二季度受害者付款的均值保释金达到137,000美金。比照由此可见,立即选购访问权限针对犯罪嫌疑人来讲的确是经济发展快速的挑选。
2. 远程桌面连接协议书(RDP)和虚似网络凭据受冲击性比较严重
远程桌面连接协议书和虚似网络凭据是初始访问代理给予的最多见的访问种类。但此外,她们也给予其他类型的访问——例如,根据远程管理手机软件,很多代管服务提供商会将其组装在这些人为客户关系管理的节点上。
买家售卖实时监控和管理系统软件的访问权限
一些网络攻击还会继续给予对特殊种类自然环境的访问权限。例如,VMWare的ESXi网络服务器近期在勒索病毒网络攻击中就特别时兴。
顾客选购VMWare的ESXi网络服务器root访问权限
实际上,REvil(别名Sodinokibi)、DarkSide及其如今的BlackMatter都搭建了可以加密锁定运作ESXi网络服务器的Linux机器设备的恶意程序,便于可以把握她们的数据信息以索要保释金。
3. 活动目录(Active Directory)凭证:特惠之选
Kela在汇报中强调,初始访问代理给予的最有價值的商品包含域管理权限。设想一下,一旦具有了对Microsoft Active Directory的域管理人员访问权限,也就代表着你能够应用IT专用工具将加密锁定恶意程序派发到机构内的每一个节点。一次强制数据加密大量系统软件也许会提升受害者付款保释金以获得解密工具服务承诺的机遇。
4. 主要进攻:英国机构
Kela发觉,调研目录中的远程控制访问凭证总数较多的是英国,占有全部目录的28%,次之是法国的、法国、澳洲、澳大利亚、西班牙、墨西哥、意大利、法国和阿拉伯联合酋长国。
5. 关键遭灾领域:加工制造业
调研发觉,目录涉及机构中较多来源于加工制造业,次之是文化教育、IT、金融信息服务、政府部门和保健医疗。这种代理不但会售卖对知名企业的访问权限,小公司也是如此,仅仅市场价要显著划算许多,通常为100-200美金。
6. 通常专盯一位顾客推销产品
一些代理会列举她们售卖的访问权限的样版,并告知顾客联络她们以获得大量详细资料。
单独顾客寻找很多访问权限的2个贴子,包含“来源于一级我国/地域的70个Citrix访问权限”(左)和Active Directory管理人员等级的访问权限(右)
这种代理通常偏向于让一个顾客选购其全部已经售卖的访问权限,假如进攻取得成功,她们有时候乃至会规定得到一定百分比的保释金。
7. 多种多样货币化安置对策
一些互联网访问代理好像不但售卖访问权限,还会继续售卖来源于受害者自然环境的数据信息。例如,上年年末,一位代理就曾以4,000 美金的价钱售卖了塔吉克斯坦中国东方航空公司的访问权限。而在销售该航司的互联网访问权限一周后,该名代理又公布将再次售卖国际航空公司互联网中的全部数据库查询。在这里起案子中,该代理便是运用他获得到的国际航空公司互联网访问权限来盗取企业的数据信息,从而采用二种不一样的方法来试着完成货币化安置。
现如今,很多威胁情报企业逐渐监控地底社区论坛以尝试获得相关潜在性受害者的详细资料。尽管它是一项付钱服务项目,但利用这类监管搜集到的情报信息可以让受害者可以迅速地锁住她们很有可能错过了的互联网侵入个人行为。
初始访问代理起先宣传策划一家国际航空公司的访问权限,随后又售卖15个据悉来源于塔吉克斯坦中国东方航空公司的数据库查询
售卖互联网访问权限和产生勒索病毒进攻中间存有时差,把握这类时差尽快检验出企业网络中的系统漏洞,您的安全性技术团队就越有可能减轻该问题并避免勒索病毒进攻导致进一步危害。
8. 代理对美国白宫行为做出回复
最近半年,勒索病毒早已变成政治上的“烂摊子”。潘基文政府部门规定俄罗斯政府严厉查处从俄国地区围攻英国总体目标的犯罪嫌疑人,并要挟称,假如俄国政府不尽早付诸行动,将立即分裂她们。
做为回复,一些网络诈骗社区论坛——包含德语Exploit和XSS社区论坛——已公布严禁勒索病毒通讯,虽然安全性专业人士表明该类限令并不总是能获得严格遵守。一样地,一些初始访问代理好像对列举一些种类的受害者(例如保健医疗实体线)也显得更为慎重。
9. 私秘通讯仍在再次
Kela汇报称,尽管大中型网络诈骗社区论坛早已明文禁止勒索病毒宣传策划,可是这类市场销售很可能仍在背后开展。例如,上年,伴随着大流行的不断扩散,一些代理“公布保健医疗单位的受害者,随后遭受了别的用户指责后删除了价格”,但无法清除她们之后根据别的方式售卖了这种对于保健医疗领域的访问权限的概率。
初始访问代理情景几乎都并不是静态数据的。安全性专业人士表明,新的商家持续发生,为大量新的受害者做宣传策划。但要想掌握有多少机构遭受进攻很有可能很艰难,由于并不是全部类别的访问都是会公布在网络诈骗社区论坛上。并且就算她们那样干了,代理们也常常会掩盖受害者的真实身份,由于,很显著,她们不愿受害者获得消息。
尽管一些社区论坛的确局限了对勒索病毒的探讨,但潜在性的初始访问代理顾客自然无须表明她们选购该类访问权限的目标也是为了更好地执行勒索病毒进攻。除此之外,尽管Exploit和XSS严禁管理人员为DarkSide和REvil等团队拥有的账号给予服务项目,但这种团队可以简便地以别的名字建立新账号,以再次选购访问权限或创建关联。
10. 与违法犯罪团队建立合作关系
很多完善的代理好像早已与指定的违法犯罪团队或勒索病毒经营的附设组织建立了合作关系,这也导致她们不要在公共性网络诈骗社区论坛上宣传策划要销售的“访问权限”,反而是根据私秘通讯就能立即完成共享资源。
与前好多个一季度对比,第二季度的访问目录总数有些降低,这很有可能正体现了这样的变化。除开与团伙犯罪创建协作外,很多代理还会继续在网络诈骗社区论坛上列举一部分详细资料,并告知潜在性顾客私底下沟通交流以获得大量详细资料。
勒索病毒营运商为获得“独家代理业务流程关联”——或最少是优先购买权——找寻浏览代理商,也是一种最少在2019年末逐渐发生的新发展趋势。就在上年年末,DarkSide敲诈勒索saas模式团队在网络诈骗社区论坛上发布信息称,它想要寻找可以让其触碰年薪最少为4亿美金的美国企业的浏览代理商。
DarkSide营运商在德语网络诈骗社区论坛上公布的找寻浏览代理商的贴子
安全性企业Trend Micro的网络诈骗科学研究负责人Bob McArdle表明,很多大中型勒索病毒营运商好像早已构建了普遍的联接目录并明确了健全的关联拓扑结构。尽管这种勒索病毒团队很有可能随时随地分裂,但没什么可以阻拦营运商和附设组织在她们离去或添加新团队时带上这种联络,并将其再次运用于新的团队当中。
文中翻譯自:https://www.bankinfosecurity.com/10-initial-access-broker-trends-cybercrime-service-evolves-a-17249倘若转截,请标明全文详细地址。