初期ネットワークアクセスコスト $500,000

侵害されたネットワークへのアクセスにかかる費用について疑問に思ったことはありませんか? 新しいレポートによると、9月の初期ネットワークアクセス価格は8月と比較して3倍になっています。.

最初のネットワークアクセスは、組織のネットワーク内に悪意のあるハッカーを巻き込むものです. それを販売している脅威アクター (「初期アクセスブローカー」として知られています) 日和見キャンペーンと標的型攻撃者の間に架け橋を作る. ほとんどの場合, これらはランサムウェアオペレーターです. KELAの研究者はインデックス作成に成功しました 108 先月人気のハッキングフォーラムで共有されたネットワークアクセスリスト. 要求価格の合計値が上回っていた $500,000.

脅威アクターはネットワークアクセスの価格をどのように計算しますか?

トップを分析しながら 5 最も高価なアクセスとその売り手のTTP, 研究者は仮説を立てました. 彼らは、価格は被害者の収入とネットワークアクセスが許可する特権のレベルに依存すると信じています. 例えば, ドメイン管理者アクセスは 25% に 100% ユーザーアクセスよりも費用がかかる.

初期ネットワークアクセスの販売はどのように機能しますか?

サプライチェーンをさらに展開することによって, 研究者は、最初のアクセスブローカーが3つのステップですぐに販売できるエントリポイントを取得することを確認しました:

1. 初期感染ベクトルを見つける
サイバー犯罪フォーラムでの会話によって明らかにされたように, このアクセスを許可する複数の可能性が存在します. ボットネット感染, のようなリモートアクセスプロトコル RDP およびVNC, およびリモートアクセスソフトウェア, 略して VPN, 上位の選択肢の1つです.

最初の感染ベクトルをより包括的な妥協点に変える
妥協の初期ベクトルに基づく, 初期アクセスタイプは異なります. 現在最も重要なタスクは、アクセス範囲と取得した特権の両方を拡大して、潜在的な購入者にとって魅力的なものにすることです。.

「T彼の魅力は、購入者の運用目標に由来しています, さまざまなアクターが潜在的なネットワークアクセスからのさまざまな要求を持っている可能性があるため,」レポートノート.

ほとんどの購入者はランサムウェアのオペレーターまたは関連会社であると想定されています, ネットワークアクセススコープが理想的である必要はないことを覚えておくことが重要です: それは十分に良い必要があります. ランサムウェアの操作を成功させるために、必ずしも何千ものエンドポイントを完全に一致させる必要はありません。, いくつかの主要なサーバーをロックし、他のいくつかのサーバーからデータを抽出することで、アクセスを収益化するのに十分な場合があります.

3. アクセスを購入者に提供する方法を決定する
KELAによると, このステップは他の2つと同様に重要です: 初期アクセスブローカーは、他のサイバー犯罪者のための持続可能なエントリーチャネルを作成する必要があります.

通常のビジネス関係のように, 一部の売り手は柔軟性があり、顧客のニーズに対応しています: 彼らは彼らに彼らの目標に適したアクセスを提供することができます. そのため、一部の販売者は、購入者がアクセスを使用して「経験豊富な」顧客のみを受け入れる方法を尋ねる傾向があります。, レポートノート.

短編小説, そのようなアクセスがバイヤーにあると’ 手, ネットワーク全体へのエントリポイントになる可能性があります. 攻撃者はコマンドを実行してマルウェアを配信できるようになりました.
詳細については、 KELAの徹底的な分析.