Сколько стоит купить взломанный доступ администратора домена к американскому производителю химической продукции из списка Fortune 500? Больше, чем чашка кофе, но меньше, чем горный велосипед высокого класса.
Утечки данных и атаки с использованием выкупного ПО происходят не в вакууме. Вместо этого они поддерживаются сложной экосистемой киберпреступников, каждый из которых выполняет определенную часть сложной цепочки поставок. В этой статье мы рассмотрим появление брокеров первоначального доступа и их более широкую роль в экосистеме киберпреступности.
Брокеры первичного доступа (IAB) - это киберпреступники, специализирующиеся на получении привилегированного ИТ-доступа к корпоративным средам, который они затем продают на специализированных форумах в "темной паутине".
Мы хотели лучше понять, как работают IAB, поэтому поступили вполне естественно и потратили несколько недель на кропотливый перевод сообщений с русского на английский, чтобы провести глубокий анализ экономики корпоративного доступа.
Анатомия сообщения брокера первичного доступа
Многие сообщения IAB имеют очень похожий формат, что создает последовательный набор характеристик, которые мы можем измерить, чтобы лучше понять экономику IAB.
- Тип доступа (Access Type/ Тип доступа) : описывает тип получаемого доступа, чаще всего RDP или VPN.
- Деятельность/ Деятельность : Описывает отрасль или вид деятельности компании-жертвы. Чаще всего жертвами становятся финансовые компании, розничная торговля и производство.
- Права / Права : Описывает уровень полученных привилегий.
- Доходы: Описывает доход компании-жертвы, часто полученный от американских поставщиков данных, находящихся в открытом доступе в Интернете.
- Host Online: Часто описывает количество хостов у жертвы и иногда включает установленные антивирусы и системы безопасности.
- Старт (Start): Начальная цена аукциона.
- Шаг: Шаг ставки.
- Блиц: Цена "купи сейчас".
Теперь, когда мы понимаем основную структуру поста IAB, мы можем продолжить изучение наших трехмесячных данных.
Доступ к корпоративным ИТ-средам стоит ошеломляюще дешево: средняя цена покупки доступа к корпоративной ИТ-среде по всем выборкам в нашем наборе данных составила 4699,31 долл. Однако несколько значительных результатов исказили цену, поэтому, когда мы удалили отклонения, средняя цена составила 1 328,23 долл.
Подавляющее большинство постов IAB находилось в узкой полосе с блиц-ценами от 1000 до 3000 долл. за корпоративный доступ.
Однако иногда публикуются чрезвычайно "дорогостоящие" объявления с доступом к уникально ценной среде. В этом случае цены могут исчисляться десятками тысяч долларов, а некоторые объявления могут стоить более 100 000 долларов.
Основные выводы: Доступ к взломанным корпоративным ИТ-средам не требует больших затрат. Угрожающие лица могут просто приобрести за несколько тысяч долларов тот уровень доступа, который необходим для организации крупного инцидента.
Брокеры первоначального доступа и география
Мы также обнаружили, что значительная часть сообщений продавала доступ жертвам, находящимся в США, за ними следуют Австралия и Великобритания, что свидетельствует о сильном уклоне в сторону атак на англоязычные страны.
Неудивительно, что США являются одной из наиболее атакуемых стран, однако поражает огромное количество жертв, находящихся в США. Более чем в 36% проанализированных нами сообщений жертва была указана в США.
Основной вывод: Большинство сообщений брокера первоначального доступа на форуме Exploit продают доступ к компаниям США, Великобритании и Австралии.
Ransomware и подсказки из сообщений брокеров первичного доступа
Так для чего же угрозы используют доступ, полученный через IAB? Их сообщения могут дать нам подсказку. Чаще всего продавался доступ к протоколу Remote Desktop Protocol (RDP) с правами администратора - ключевой вектор для атак с использованием ransomware.
Интересно, что в некоторых аукционах указывалось, что у организации-жертвы отсутствует решение для резервного копирования и восстановления данных, или что ОВД имеет доступ и к системе резервного копирования. Это, скорее всего, является ключевым признаком того, что продавец ожидает, что доступ будет использован для атаки ransomware.
В тех немногих сообщениях, в которых мы нашли специально указанные доступы к системам резервного копирования и восстановления, цены на блиц-атаки были значительно выше, чем в тех, где такие доступы отсутствовали.
Основной вывод: Аукционы IAB, вероятно, являются ключевым источником корпоративного ИТ-доступа для групп и филиалов, занимающихся разработкой программ-вымогателей.
Выводы для специалистов по безопасности
Брокеры первичного доступа представляют собой серьезную угрозу для корпоративных служб информационной безопасности. IAB имеют прямой финансовый стимул для компрометации устройств, сетей и сервисов с целью их последующей перепродажи на специализированных "темных" веб-рынках и форумах. В компании Flare мы рекомендуем следующее:
- Создать надежные средства мониторинга основных киберпреступных форумов и площадок "темной паутины", таких как BreachForums, Exploit, XSS и Russian Market.
- Следите за форумами IAB на предмет наличия признаков того, что ваша организация или кто-то из ваших третьих лиц может быть скомпрометирован.
- Отслеживайте журналы кражи, которые могут содержать корпоративные учетные данные и активные cookies сеанса. По результатам исследований Flare, в Telegram, Russian Market и Genesis Market распространяются сотни тысяч журналов кражи, содержащих доступ к корпоративным SaaS-приложениям.
Мониторинг киберпреступной экосистемы с помощью Flare
Flare осуществляет мониторинг нелегальных форумов и торговых площадок с целью выявления любых действий ОВД в отношении наших заказчиков.
Простая в использовании SaaS-платформа Flare позволяет автоматизировать обнаружение логов похитителей в чистом и темном интернете и нелегальных Telegram-каналах.
Зарегистрируйтесь в бесплатной пробной версии, чтобы узнать больше о том, как Flare может повысить возможности вашей программы безопасности по мониторингу киберпреступности за 30 минут.
Спонсор и автор - компания Flare
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
