Haben Sie sich jemals gefragt, wie viel der Zugriff auf ein kompromittiertes Netzwerk kostet?? Ein neuer Bericht zeigt, dass sich der Preis für den anfänglichen Netzwerkzugang im September im Vergleich zum August verdreifacht hat.
Der anfängliche Netzwerkzugriff führt dazu, dass böswillige Hacker im Netzwerk eines Unternehmens auftreten. Bedrohungsschauspieler, die es verkaufen (bekannt als "Erstzugangsmakler") eine Brücke zwischen opportunistischen Kampagnen und gezielten Angreifern schlagen. Meistens, Dies sind Ransomware-Betreiber. KELA-Forscher erfolgreich indiziert 108 Netzwerkzugriffslisten, die letzten Monat in beliebten Hacking-Foren geteilt wurden. Der Gesamtwert des geforderten Preises lag darüber $500,000.
Wie berechnen Bedrohungsakteure den Preis für den Netzwerkzugriff??
Während der Analyse der Spitze 5 teuerste Zugriffe und die TTPs ihrer Verkäufer, Die Forscher stellten eine Hypothese auf. Sie glauben, dass der Preis von den Einnahmen des Opfers und der Höhe der Berechtigungen abhängt, die der Netzwerkzugriff zulässt. Beispielsweise, Der Zugriff auf den Domänenadministrator kann von erfolgen 25% zu 100% teurer als Benutzerzugriff.
Wie funktioniert der Verkauf des ersten Netzwerkzugriffs??
Durch die weitere Entfaltung der Lieferkette, Die Forscher stellten fest, dass Erstzugangsmakler ihren verkaufsfertigen Einstiegspunkt in drei Schritten erhalten:
1. Finden eines anfänglichen Infektionsvektors
Wie aus Gesprächen in Cybercrime-Foren hervorgeht, Es gibt mehrere Möglichkeiten, die diesen Zugriff gewähren. Botnet-Infektion, Fernzugriffsprotokolle wie RDP und VNC, und Fernzugriffssoftware, kurz bekannt als VPN, gehören zu den Top-Optionen.
Den anfänglichen Infektionsvektor in einen umfassenderen Kompromiss verwandeln
Basierend auf dem anfänglichen Kompromissvektor, Die anfänglichen Zugriffstypen variieren. Die wichtigste Aufgabe besteht nun darin, sowohl den Zugriffsbereich als auch die erworbenen Berechtigungen zu erweitern, damit sie für einen potenziellen Käufer attraktiv sind.
„TSeine Attraktivität ergibt sich aus dem operativen Ziel des Käufers, da unterschiedliche Akteure unterschiedliche Anforderungen an einen potenziellen Netzwerkzugriff haben können,”Der Bericht stellt fest.
Bei den meisten Käufern wird davon ausgegangen, dass sie Ransomware-Betreiber oder verbundene Unternehmen sind, Es ist wichtig zu beachten, dass der Netzwerkzugriffsbereich nicht ideal sein muss: es muss nur gut genug sein. Ein erfolgreicher Ransomware-Vorgang muss nicht unbedingt Tausende von Endpunkten im perfekten Einklang sperren - manchmal, Das Sperren einiger Schlüsselserver und das Extrahieren von Daten aus mehreren anderen kann ausreichen, um den Zugriff zu monetarisieren.
3. Entscheiden, wie einem Käufer der Zugang gewährt wird
Laut KELA, Dieser Schritt ist ebenso wichtig wie die beiden anderen: Erstzugangsmakler sollten einen nachhaltigen Zugangskanal für andere Cyberkriminelle schaffen.
Wie in üblichen Geschäftsbeziehungen, Einige Verkäufer sind flexibel und gehen von den Bedürfnissen ihrer Kunden aus: Sie können ihnen den für ihre Ziele geeigneten Zugang gewähren. Aus diesem Grund fragen einige Verkäufer, wie ein Käufer den Zugang nutzen und nur "erfahrene" Kunden akzeptieren wird, der Bericht fest.
Um es kurz zu machen, Sobald ein solcher Zugang in den Käufern ist’ Hände, Es kann zu einem Einstiegspunkt in ein gesamtes Netzwerk werden. Angreifer können jetzt Befehle ausführen und Malware bereitstellen.
Weitere Details finden Sie in Die gründliche Analyse von KELA.