Dostęp do sieci sprzedawany na forach hakerów szacowany na 500 000 USD we wrześniu 2020 r.

Liczba reklam oferujących dostęp do „zhakowanych sieci” potroiła się we wrześniu 2020 roku.

Liczba reklam oferujących dostęp do „zhakowanych sieci” potroiła się we wrześniu 2020 roku w porównaniu z miesiącem poprzednim.

Liczba reklam na forach hakerskich sprzedających dostęp do zainfekowanych sieci IT wzrosła trzykrotnie we wrześniu 2020 r. W porównaniu z poprzednim miesiącem.

W opublikowanym dzisiaj raporcie, firma KELA, zajmująca się bezpieczeństwem cybernetycznym, stwierdziła, że ​​zindeksowała 108 wpisów dotyczących „dostępu do sieci” opublikowanych w zeszłym miesiącu na popularnych forach hakerskich, łącznie wycenionych na łączną cenę wywoławczą wynoszącą około 505 000 USD.

KELA powiedziała, że ​​około jedna czwarta notowań została sprzedana innym zagrożeniom, które chcą zaatakować zainfekowane firmy.

Tego typu reklamy były publikowane na forach hakerskich od lat, ale w większości były niszą na rynku „początkowego dostępu”, a większość grup cyberprzestępczych decyduje się na zakup dostępu do zainfekowanych sieci za pośrednictwem platform przestępczych sprzedających dostęp RDP (zwane „sklepami RDP”) lub od operatorów botnetów zawierających złośliwe oprogramowanie (znanych jako „Malware-as-a-Service” lub „instalacje botów”).

Jednak od lata 2019 r. Ujawniono wiele luk w zabezpieczeniach głównych produktów sieciowych. Obejmuje to luki w zabezpieczeniach serwerów Pulse Secure i Fortinet VPN, bram sieciowych Citrix, systemów zarządzania flotą komputerów Zoho i wielu innych.

Podmioty zagrażające szybko wykorzystały te luki, masowo włamując się do urządzeń. Wiele z tych systemów musiało w jakiś sposób zarabiać.

Podczas gdy niektórzy „pośrednicy dostępu początkowego” współpracowali z gangami ransomware, wielu z nich nie miało głębokich powiązań i reputacji potrzebnej w zamkniętej gospodarce cyberprzestępczej, aby ustanowić takie partnerstwa od samego początku. Zamiast tego ci brokerzy zaczęli sprzedawać swoje zainfekowane sieci na popularnych forach hakerskich, takich jak XSS, Exploit, RAID i inne.

Wielu brokerów sprzedawało również dostęp do zagrożonych punktów końcowych RDP lub VNC. Większość z tych systemów jest narażona na ataki siłowe przeprowadzane za pomocą botnetów IoT, podczas gdy inne są kupowane w klasycznych sklepach RDP, mają rozszerzony dostęp z poziomu użytkownika do poziomu administratora, a następnie odsprzedawany na forach po wyższych cenach.

W ciągu ostatniego roku częstotliwość tych reklam i cena za dostęp do zhakowanych sieci stale rosła.

Na podstawie monitoringu KELA stwierdziła, że ​​średnia cena za zhakowaną sieć sprzedawaną na forach hakerów wynosi około 4960 USD, a przedział cenowy waha się od 25 do nawet 102 000 USD.

Menedżer produktu KELA, Raveed Laeb, powiedział, że cena reklamy „dostępu do sieci” zwykle różni się w zależności od czynników, takich jak wartość firmy i poziom uprawnień.

Oczywiście sieci z zagrożonym kontem administratora są cenione bardziej niż sieci, w których zhakowane konto ma tylko zwykłe uprawnienia użytkownika. Nie wydaje się to jednak odstraszać sprzedawcy, ponieważ niektórzy gracze będą szukać tylko początkowego punktu zaczepienia, mając własne możliwości eskalacji dostępu.

W niektórych przypadkach to brokerzy pierwszego dostępu dokonują eskalacji uprawnień, czego doskonałym przykładem jest sprzedawca, który podwoił cenę swojej oferty, uzyskując dostęp do konta administratora po opublikowaniu początkowej wersji swojej reklamy.

Inną interesującą obserwacją jest to, że brokerzy korzystający z pierwszego dostępu zwykle używają „wartości” firmy zamiast rozmiaru jej sieci przy podejmowaniu decyzji o cenie, powołując się na statystyki takie jak roczny przychód, a nie liczbę punktów końcowych.

Pokazuje to, że brokerzy wstępnego dostępu często dostosowują swoje reklamy do gangów ransomware, w których roczne przychody i zyski ofiary są wykorzystywane do negocjowania żądania okupu, a nie do rozmiaru sieci, co jest zwykle mniej istotne, ponieważ jest to dobrze umiejscowiony atak ransomware. często może sparaliżować firmę, nawet bez blokowania tysięcy jej komputerów.

KELA, która przeanalizowała niektóre z najdroższych reklam opublikowanych we wrześniu, stwierdziła, że ​​znalazła brokerów oferujących dostęp do dużej firmy morskiej i stoczniowej (sprzedanej za 102 000 USD), rosyjskiego banku (20 000 USD), tureckiej firmy lotniczej (16 000 USD) oraz kanadyjska firma franczyzowa (10600 USD), której dostęp do sieci ofiary został sprzedany w ciągu zaledwie kilku godzin.

Jednak KELA twierdzi, że fora hakerskie, takie jak te, które śledzi, zapewniają jedynie podsumowanie całego rynku „początkowego dostępu”, który jest znacznie, znacznie większy.

Brokerzy pierwszego dostępu działają również w zamkniętych kręgach, takich jak prywatne sklepy RDP, za pośrednictwem szyfrowanej komunikacji z wybranymi klientami lub za pośrednictwem platform Malware-as-a-Service, takich jak botnety złośliwego oprogramowania.

Śledzenie sprzedaży i ofiar za pośrednictwem tych mediów jest niemożliwe, ale przebłysk, jaki uzyskują firmy zajmujące się bezpieczeństwem, obserwując sprzedaż na publicznych forach hakerskich, pokazuje, jak lukratywny może być ten rynek i jak łatwo zhakowany RDP lub sprzęt sieciowy może znaleźć drogę z rąk osoba atakująca niskiego poziomu wykorzystująca publicznie udostępniany exploit do profesjonalnych gangów złośliwego oprogramowania obsługujących oprogramowanie ransomware lub oprogramowanie POS.

Źródła: