Heeft u zich ooit afgevraagd hoeveel toegang tot een gecompromitteerd netwerk kost? Een nieuw rapport laat zien dat de initiële toegangsprijs voor het netwerk in september is verdrievoudigd in vergelijking met augustus.
Initiële netwerktoegang is wat kwaadwillende hackers binnen het netwerk van een organisatie krijgt. Bedreigende acteurs die het verkopen (bekend als "initial access brokers") een brug slaan tussen opportunistische campagnes en gerichte aanvallers. Meestal, dit zijn ransomware-operators. KELA-onderzoekers hebben met succes geïndexeerd 108 netwerktoegangslijsten die vorige maand op populaire hackforums zijn gedeeld. De totale waarde van de gevraagde prijs was hoger $500,000.
Hoe berekenen bedreigingsactoren de prijs van netwerktoegang?
Bij het analyseren van de top 5 duurste toegangen en de TTP's van hun verkopers, de onderzoekers creëerden een hypothese. Ze zijn van mening dat de prijs afhankelijk is van de inkomsten van het slachtoffer en het niveau van privileges die netwerktoegang toestaat. Bijvoorbeeld, domein admin-toegang kan zijn van 25% aan 100% duurder dan gebruikerstoegang.
Hoe werkt het verkopen van initiële netwerktoegang??
Door de supply chain verder te ontvouwen, De onderzoekers zagen dat initial access brokers hun verkoopklare toegangspunt in drie stappen krijgen:
1. Een eerste infectievector vinden
Zoals blijkt uit gesprekken op cybercriminaliteitsforums, er zijn meerdere mogelijkheden die deze toegang verlenen. Botnet-infectie, protocollen voor externe toegang zoals RDP en VNC, en software voor externe toegang, kort bekend als VPN, behoren tot de topkeuzes.
De initiële infectievector veranderen in een meer omvattend compromis
Gebaseerd op de eerste vector van compromis, initiële toegangstypen variëren. De belangrijkste taak is nu het verbreden van zowel het toegangsbereik als de verworven privileges zodat ze aantrekkelijk zijn voor een potentiële koper.
“Tzijn aantrekkelijkheid wordt afgeleid uit het operationele doel van de koper, aangezien verschillende actoren verschillende eisen kunnen stellen aan een potentiële netwerktoegang,”Merkt het rapport op.
Bij de meeste kopers wordt aangenomen dat het ransomware-exploitanten of gelieerde ondernemingen zijn, Houd er rekening mee dat het bereik van de netwerktoegang niet ideaal hoeft te zijn: het moet gewoon goed genoeg zijn. Een succesvolle ransomware-operatie hoeft niet per se duizenden eindpunten in perfecte harmonie te vergrendelen - soms, het vergrendelen van een paar sleutelservers en het extraheren van gegevens van verschillende andere kan voldoende zijn om geld te verdienen met de toegang.
3. Beslissen hoe toegang wordt verleend aan een koper
Volgens KELA, deze stap is even cruciaal als de andere twee: Initial access brokers zouden een duurzaam toegangskanaal moeten creëren voor andere cybercriminelen.
Zoals in gewone zakenrelaties, sommige verkopers zijn flexibel en gaan uit van de behoeften van hun klanten: ze kunnen hen de toegang geven die geschikt is voor hun doelen. Dat is de reden waarom sommige verkopers de neiging hebben om te vragen hoe een koper toegang zal gebruiken en alleen ‘ervaren’ klanten te accepteren, stelt het rapport.
Om een lang verhaal kort te maken, zodra dergelijke toegang bij de kopers is’ handen, het kan een toegangspunt worden tot een heel netwerk. Aanvallers kunnen nu opdrachten uitvoeren en malware afleveren.
Meer details zijn beschikbaar in KELA's grondige analyse.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: