Initial Access Brokers: välttämätön lenkki tietoverkkorikollisuuden toimitusketjussa

Tänä vuonna on tulossa ennätys lunnasohjelmaryhmille. Lohkoketjuanalyysi paljastaa että "saavutukset" rikollisiin liittyviin kryptovaluuttaosoitteisiin saavuttivat 460 miljoonaa dollaria vuoden 2024 ensimmäisellä puoliskolla, kun se viime vuonna vastaavana ajanjaksona oli 449 miljoonaa dollaria. Ja joidenkin tuotteliaisimpien kiristysohjelmaryhmien mediaanilunnaat ovat nousseet vajaasta 200,000 2023 dollarista vuoden 1.5 alussa 2024 miljoonaan dollariin kesäkuun XNUMX puolivälissä.

Nyt on monia syitä, miksi kiristysohjelmaryhmät ja yleisesti maanalainen tietoverkkorikollisuus jatkavat kukoistamistaan. Mutta suuri osa heidän menestyksestään on alkupääsyn välittäjällä (IAB), joka on kriittinen toimija tietoverkkorikollisuuden toimitusketjussa. On erittäin tärkeää löytää keinot lieventää taktiikoita, tekniikoita ja menettelyjä (TTP), jos organisaatiot haluavat minimoida altistumisensa taloudelliselle ja maineriskille.

Silmät palkinnolla

Hyvin yksinkertaisella tasolla IAB:t ovat niin tärkeitä, koska ne keskittyvät yhteen asiaan ja tekevät sen poikkeuksellisen hyvin. Keskittymällä vain hyökkäyksen ensimmäiseen vaiheeseen he eristyvät lainvalvontaviranomaisilta – minkä he saavuttavat myös työskentelemällä yksityisesti ransomware-as-a-service (RaaS) -tytäryhtiöiden kanssa. Toisaalta, ulkoistamalla IAB:lle aikaa vievän kohteiden valinnan ja uhriorganisaatioihin pääsyn saamisen, muut verkkorikolliset voivat keskittyä enemmän aikaansa ponnistelujensa skaalaamiseen.

Kun IAB:t eivät työskentele yksityisesti RaaS-ryhmien kanssa, ne listaavat palvelunsa hakkerointifoorumeille, jolloin tutkijat voivat saada paremman kuvan markkinoista. Uuden mukaan Cyberint raportti, jotkut tarjoavat niputettuja tarjouksia, kun taas toiset myyvät käyttöoikeuksia erikseen, ja erittäin luotetut henkilöt voivat vaatia ostajia ottamaan heihin suoraan yhteyttä antamatta mitään tietoja.

Raportissa korostetaan kolmea IAB:n päätyyppiä. Ne, jotka myyvät pääsyn:

• Takaovien ja muiden verkkoon kytkettyihin tietokoneisiin asennettujen haittaohjelmien vaarantama järjestelmä
• Palvelimet vaarantuneet brute-forcing Remote Desktop Protocol (RDP) -protokollan vuoksi
• Vaaralliset verkkolaitteet, kuten VPN-palvelimet ja palomuurit, jotka tarjoavat askeleen yritysverkkoon

Cyberintin mukaan RDP-käyttö oli yleisintä vuonna 2023, ja sen osuus IAB:n listauksista oli yli 60 prosenttia. Tänä vuonna RDP-pääsyn (41 %) on kuitenkin haastanut VPN-kompromissi (45 %).

Muita käyttöoikeustyyppejä ovat:

• Sähköposti: Usein vaarantuneiden tunnistetietojen kautta, jolloin hyökkääjät voivat lukea, lähettää ja käsitellä sähköposteja
• Tietokanta: Varastettujen valtuustietojen tai haavoittuvuuden hyväksikäytön kautta
• Verkkokuori: Nämä ovat komentosarjoja, joiden avulla uhkatekijät voivat hallita/suorittaa komentoja etänä kohdepalvelimella
• Shellin/komentorivin käyttö: Komentoriviliittymän tarjoaminen vaarantuneeseen järjestelmään, joka mahdollistaa komentojen suoran suorittamisen
• Tiedostojen jaot: Pääsy jaettuihin asemiin ja tiedostopalvelimiin usein vaarantuneiden tunnistetietojen tai sivuttaisliikkeen vuoksi

IAB:t voivat myös listata myyntinsä käyttöoikeustyypin mukaan – verkkotunnuksen järjestelmänvalvoja, paikallinen järjestelmänvalvoja tai verkkotunnuksen käyttäjä – korkeammalla etuoikeutetulla käyttöoikeudella maksaa enemmän. Vaikka joidenkin arvokkaiden ympäristöjen käyttö voi johtaa listauksiin, joiden hinta on yli 10,000 500 dollaria, useimmat IAB-viestit ovat 2000–60 1,295 dollaria. Se on osoitus markkinoiden kaupallisista luonteesta. Itse asiassa, vaikka IAB:t keskittyvät yhä enemmän suurituloisiin yrityksiin, listausten keskihinta on laskenut XNUMX prosenttia vuosittain XNUMX XNUMX dollariin Cyberintin mukaan.

Tulevatko IAB:t organisaatiosi jälkeen?

Yli neljäsosa (27 %) Cyberintin vuonna 2024 analysoimista listauksista koski pääsyä organisaatioille, joiden liikevaihto oli yli miljardi dollaria. Itse asiassa uhrien keskimääräinen tulo tänä vuonna on 1 miljardia dollaria. Mutta se ei tarkoita sitä, että pienemmät organisaatiot olisivat pois koukusta, Cyberint-tietoturvatutkijan Adi Bleihin mukaan.

”Vuoden 2024 ensimmäisellä puoliskolla tietomme paljastavat, että organisaatiot, joiden liikevaihto oli alle 10 miljoonaa dollaria, muodostivat 18.5 % kaikista suurten maanalaisten foorumien pääsylistauksista. Tämä tarkoittaa, että lähes joka viides kohdeorganisaatio on pk-yritys, mikä korostaa merkittävää riskiä tälle alalle”, hän kertoo ISMS.online-sivustolle.

”Tarkastelemalla laajemmin keskisuuria yrityksiä, joiden liikevaihto on 10–100 miljoonaa dollaria, 29.5 % kaikista kohdeorganisaatioista kuuluu tälle alueelle. Tämä tarkoittaa, että alle 100 miljoonan dollarin ansaitsevat yritykset muodostavat 48 % kaikista alkupääsyvälitystavoitteista."

Muualla yhdysvaltalaiset organisaatiot ovat todennäköisimmin hiuspisteessä, ja niiden osuus on lähes puolet (48 %) tutkituista IAB-listauksista. Sen jälkeen tulevat Ranska, Brasilia, Intia ja Italia. Koska Iso-Britannia on kuitenkin kaksi suurinta kiristyshaittakohdetta, brittiläiset CISO:t voivat pitää hereillä öisin. Selvityksen mukaan kohdistetuimpia toimialoja ovat yrityspalvelut, rahoitus, vähittäiskauppa, teknologia ja valmistus. Jälkimmäinen kasvoi vuoden 14 2023 prosentista 23 prosenttiin tänä vuonna.

Alkukäytön estäminen ja sen jälkeen

Vaikka mikään organisaatio ei ole todella turvassa IAB-hyökkäyksiltä, ​​hyvä uutinen on, että uhkatoimijat itse pyrkivät pitämään kiinni hyväksi todetuista hakkerointitekniikoista. Tämä tarkoittaa, että parhaiden käytäntöjen suojaus auttaa verkon puolustajia pääsemään pitkälle neutraloimaan joko alkupääsyn tai sen, mitä tulee seuraavaksi. Cyberint suosittelee yksinkertaisia ​​vaiheita, kuten monitekijätodennusta (MFA), vähiten etuoikeuskäytäntöjä, säännöllistä korjausta, tietoturvakoulutusta, rajoitettua RDP:n käyttöä, tunkeutumisen havaitsemista (IDS), verkon segmentointia ja pimeän verkon valvontaa.

Onneksi parhaiden käytäntöjen standardit ja viitekehykset ovat hyvä tapa virallistaa tällaiset käytännöt.

Esimerkiksi, ISO 27001 käsittelee seuraavaa:

• Kulunvalvonta: (Liite A.9). Auttaa vähentämään mahdollisuutta, että IAB:t tunkeutuvat heidän verkkoihinsa.

• Tapahtumien hallinta ja niihin reagoiminen: (Liite A.16) Nopea havaitseminen ja reagointi ensimmäiseen pääsyyn voi auttaa estämään rikkomukset ennen kuin ne voidaan rahallistaa.
• Tietoturvatietoisuus ja koulutus: (Liite A.7.2.2) Tämä vähentää todennäköisyyttä, että IAB:t pääsevät pääsyyn inhimillisen virheen, kuten tietojenkalastelun tai heikkojen salasanojen, kautta.
• Verkon suojauksen hallinta: (Liite A.13) Verkon jakaminen pienempiin, eristettyihin segmentteihin rajoittaa uhkatekijöiden kykyä liikkua sivusuunnassa verkon sisällä.
• Valvonta ja kirjaaminen: Jatkuva verkkotoiminnan valvonta ja kirjaaminen havaitsee ja hälyttää kaikki luvattomat pääsyyritykset.
• Palomuuri- ja IDS/IPS-kokoonpano: Oikea määritys auttaa havaitsemaan ja estämään epäilyttävät verkkotoiminnot tehokkaammin.
• Korjausten hallinta ja haavoittuvuuksien hallinta: (Liite A.12.6.1) Vähentää niiden hyödynnettävissä olevien haavoittuvuuksien määrää, joita IAB:t voivat käyttää saadakseen ensimmäisen käyttöoikeuden.
• Supply Chain Security: (Liite A.15) Auttaa estämään IAB:ita pääsemästä luvatta suojaamattomien kolmansien osapuolten kautta.
• Salaus ja tietosuoja: (Liite A.10) Tietojen salaus rajoittaa IAB-loukkauksen jälkeen käytettävien tietojen arvoa.
• Fyysinen ja ympäristöturvallisuus: (Liite A.11) Vähentää riskiä, ​​että IAB:t pääsevät alkuun fyysisten keinojen kautta, kuten vaarantuneen työntekijän kautta.

ISO 27001 perustuu Plan-Do-Check-Act (PDCA) -sykliin, joka korostaa tietoturvan hallintajärjestelmän (ISMS) jatkuvaa parantamista. Säännölliset sisäiset tarkastukset, johdon arvioinnit ja jatkuvasti kehittyvien uhkien mukaiset tietoturvapäivitykset pitävät yrityksen suojan tarkoituksenmukaisena ajan mittaan. IAB-hyökkäykset ovat väistämättömiä. Mutta onnistuneiden rikkomusten ei tarvitse olla.