Быстрое увеличение числа операторов в этом пространстве – «ключников» киберподполья - привело к тому, что киберпреступникам стало значительно дешевле покупать доступ к целевым сетям.
Такие имена, как Novelli, orangecake, Pirat-Networks, SubComandanteVPN и zirochka, вряд ли что-то значат для подавляющего большинства команд безопасности предприятий. Но операторы шифровальщиков и другие киберпреступники, ищущие быстрый доступ к корпоративным сетям, обращались именно к этим брокерам большую часть прошлого года.
На долю этих пяти групп пришлось около 25% всех предложений по доступу к корпоративным сетям, которые были выставлены на продажу на подпольных форумах в период со второй половины 2021 года по первую половину 2022 года. За среднюю цену около 2800 долларов США эти так называемые брокеры начального доступа (IAB) продавали украденные данные учетных записей VPN и протокола удаленного рабочего стола (RDP), а также другие учетные данные, которые преступники могли использовать для проникновения в сети более чем 2300 организаций по всему миру, не покладая рук.
Обширный и растущий рынок.
Пять операторов были лидерами на крупном и быстрорастущем рынке, состоящем из сотен других подобных участников, которые обнаружила компания Group-IB, занимающаяся вопросами безопасности, при проведении исследования для своего 11-го ежегодного отчета о преступлениях в сфере высоких технологий, опубликованного на этой неделе.
Исследование показало резкий годовой рост числа брокеров, действующих на подпольных форумах и рынках - с 262 в предшествующий 12-месячный период до 380 в период со второй половины 2021 года по первую половину 2022 года. Около 327 из брокеров, которые Group-IB наблюдала за работой в этот период, были новыми участниками рынка.
Исследователи Group-IB также обнаружили, что количество стран, к которым принадлежали скомпрометированные организации, увеличилось на 41% - с 68 годом ранее до 96 за период исследования. Почти четверть - 24% - всех предложений первоначального доступа касались сетей организаций, расположенных в США. Среди других стран с относительно высоким числом жертв - Бразилия, Канада, Франция и Великобритания.
«Поскольку продажи доступа продолжают расти и диверсифицироваться, IAB являются одной из главных угроз, за которыми стоит следить в 2023 году» - предупредил Дмитрий Волков, генеральный директор Group-IB, в заявлении, сопровождающем новый отчет.
«Брокеры первичного доступа играют роль нефтедобытчиков для всей теневой экономики", - отметил он. "Они подпитывают и облегчают деятельность других преступников, таких как разработчики программ выкупа и противники национальных государств».
«Оппортунистические ключники в мира кибербезопасности».
Ценность брокеров начального доступа в экономике киберпреступности заключается в том, что они дают другим киберпреступникам возможность легко закрепиться в целевой сети без предварительной работы. Брокеры выполняют техническую работу по проникновению в сеть и краже учетных данных - например, связанных с VPN, службами RDP, Active Directory и панелями удаленного управления - которые обеспечивают последующий доступ к сети. Часто они могут подбрасывать веб-оболочки во взломанную сеть, чтобы обеспечить постоянный доступ к ней в будущем, а затем продавать эти веб-оболочки. В прошлогоднем отчете исследователи из группы анализа угроз Google назвали брокеров «оппортунистическими ключниками мира безопасности», которые специализируются на взломе объекта и предоставлении доступа к нему тому, кто предложит наибольшую цену.
Подпитка экономики шифровальщиков.
Брокеры предлагают свои товары всем желающим их приобрести, и этот рынок стремительно вырос за последние два года или около того. Но в последнее время их крупнейшими клиентами стали операторы программ-выкупов.
Новое исследование, проведенное компанией KELA, специализирующейся на анализе угроз, показало, что несколько крупных атак шифровальщиков с участием таких групп, как Hive, Sodinokibi, BlackByte и Quantum, начинались с доступа к сети через брокеров доступа. В одном случае члены группы Conti присоединились к брокеру, чтобы атаковать организации на Украине.
«Наиболее заметный инцидент связан с атакой на австралийскую страховую компанию Medibank, которая была атакована после того, как сетевой доступ к компании был продан на частном канале Telegram» - говорится в сообщении KELA.
Исследователи Group-IB обнаружили, что 70% типов доступа, которые предлагали брокеры, были RDP и данные учетных записей VPN. Многие предложения - 47% - предполагали доступ с правами администратора во взломанной сети. Двадцать восемь процентов объявлений, в которых были указаны права, включали права администрирования домена, 23% - права стандартного использования, и лишь небольшая часть предоставляла доступ к root-аккаунту.
Исследователи Group-IB также обнаружили рекламу доступа к средам Citrix, многочисленным веб-панелям для CMS и облачных серверов, а также веб-оболочкам на взломанных системах. В некоторых случаях брокеры даже предлагали запустить полезную нагрузку латерального перемещения, такую как Cobalt Strike Beacon или сессии Metasploit, от имени покупателя. Однако предложения по этим учетным данным и сервисам, как правило, встречались реже, чем предложения, связанные с учетными данными RDP и VPN.
Среди организаций, предложения доступа для которых чаще всего встречались на подпольных форумах и рынках, были производственные компании, фирмы, предоставляющие финансовые услуги, организации, занимающиеся недвижимостью, образовательные учреждения и фирмы, работающие в сфере информационных технологий.
Group-IB обнаружила, что резкое увеличение числа организаций, работающих в сфере торговли доступами в период проведения исследования, привело к снижению цен на большинство категорий первоначального доступа.
Средняя цена в 2 800 долларов, которую наблюдала компания, на самом деле была меньше половины от 6 500 долларов, которые брокеры в среднем взимали за тот же доступ годом ранее.
Источник: https://www.darkreading.com
