Flare Alert


Security


Μια βαθιά κατάδυση στα φόρουμ Hacking του Dark Web



By

Marizas Dimitris

Πόσο κοστίζει η αγορά πρόσβασης διαχειριστή χακαρισμένου τομέα σε έναν κατασκευαστή χημικών προϊόντων Fortune 500 US; Περισσότερο από ένα φλιτζάνι καφέ αλλά λιγότερο από ένα high end ποδήλατο βουνού.

Οι παραβιάσεις δεδομένων και οι επιθέσεις ransomware δεν συμβαίνουν στο κενό. Αντίθετα, υποστηρίζονται από ένα περίπλοκο οικοσύστημα κυβερνοεγκληματιών, που ο καθένας εκπληρώνει ένα συγκεκριμένο μέρος ενός

εξελιγμένη εφοδιαστική αλυσίδα

. Αυτή η ανάρτηση θα εξετάσει την έλευση των μεσιτών αρχικής πρόσβασης και τον ευρύτερο ρόλο τους στο οικοσύστημα του εγκλήματος στον κυβερνοχώρο.


Μεσίτες αρχικής πρόσβασης (IAB)

είναι κυβερνοεγκληματίες που επικεντρώνονται στην απόκτηση προνομιακής πρόσβασης πληροφορικής σε εταιρικά περιβάλλοντα, τα οποία στη συνέχεια δημοπρατούν σε εξειδικευμένα φόρουμ σκοτεινού ιστού.

Θέλαμε να κατανοήσουμε καλύτερα πώς λειτουργούν τα IAB, γι’ αυτό κάναμε το μόνο φυσικό πράγμα και περάσαμε εβδομάδες μεταφράζοντας επιμελώς αναρτήσεις από τα ρωσικά στα αγγλικά για να πραγματοποιήσουμε μια εις βάθος ανάλυση σχετικά με την οικονομία της εταιρικής πρόσβασης.

Η ανατομία μιας θέσης μεσίτη αρχικής πρόσβασης

Πολλές αναρτήσεις του IAB ακολουθούν μια εξαιρετικά παρόμοια μορφή, δημιουργώντας ένα συνεπές σύνολο χαρακτηριστικών που μπορούμε να μετρήσουμε για να κατανοήσουμε καλύτερα την οικονομία του IAB.

, Μια βαθιά κατάδυση στα φόρουμ Hacking του Dark Web, TechWar.gr

Ανάρτηση του IAB από ένα φόρουμ σκοτεινού ιστού που περιγράφει την πρόσβαση που πωλούν.



Πηγή: Flare


  • Τύπος πρόσβασης/



    Тип доступа




    : Περιγράφει τον τύπο πρόσβασης που αποκτάται, πιο συχνά πρόσβαση RDP ή VPN.

  • Δραστηριότητα/



    Деятельность



    :

    Περιγράφει τη βιομηχανία ή τη δραστηριότητα της εταιρείας-θύματος. Τα οικονομικά, το λιανικό εμπόριο και η βιομηχανία είναι οι τρεις πιο συνηθισμένοι στόχοι.

  • Δικαιώματα

    /




    Δικαίωμα




    : Περιγράφει το επίπεδο των προνομίων που αποκτήθηκαν.

  • Εσοδα:

    Περιγράφει τα έσοδα της εταιρείας-θύματος, τα οποία λαμβάνονται συχνά από παρόχους δεδομένων που εδρεύουν στις ΗΠΑ και είναι δημόσια διαθέσιμα στο διαδίκτυο.

  • Host Online:

    Συχνά περιγράφει τον αριθμό των κεντρικών υπολογιστών από το θύμα και μερικές φορές περιλαμβάνει συστήματα προστασίας από ιούς και ασφάλειας.

  • Αρχή:

    Η τιμή εκκίνησης της δημοπρασίας.

  • Βήμα:

    Οι προσαυξήσεις των προσφορών.

  • Αιφνιδιαστική επίθεση:

    Η τιμή αγοράς του τώρα.

Τώρα που καταλαβαίνουμε τη βασική δομή μιας ανάρτησης IAB, μπορούμε να εξερευνήσουμε περαιτέρω τα τρίμηνα δεδομένα μας.

Η πρόσβαση σε εταιρικά περιβάλλοντα πληροφορικής είναι εκπληκτικά φθηνή. η μέση τιμή για την αγορά πρόσβασης σε ένα εταιρικό περιβάλλον πληροφορικής σε όλα τα δείγματα του συνόλου δεδομένων μας ήταν 4.699,31 $. Ωστόσο, μερικά σημαντικά

παρέσυραν την τιμή, οπότε όταν αφαιρέσαμε τα ακραία στοιχεία, η μέση τιμή ήταν 1.328,23 $.

Η συντριπτική πλειονότητα των αναρτήσεων του IAB ήταν εντός μιας στενής ζώνης με

blitz μεταξύ 1.000 και 3.000 $ για εταιρική πρόσβαση.

Ωστόσο, περιστασιακά δημοσιεύεται μια λίστα εξαιρετικά «υψηλής αξίας» με πρόσβαση σε ένα μοναδικά πολύτιμο περιβάλλον. Αυτό μπορεί να οδηγήσει σε τιμές δεκάδων χιλιάδων δολαρίων, με ορισμένες καταχωρίσεις να φτάνουν πάνω από 100.000 δολάρια.


Key Takeaway:

Η πρόσβαση σε παραβιασμένα εταιρικά περιβάλλοντα πληροφορικής δεν είναι ακριβή. Οι φορείς απειλών μπορούν απλώς να αγοράσουν το επίπεδο πρόσβασης που απαιτείται για να προκληθεί ένα σημαντικό περιστατικό για μερικές χιλιάδες δολάρια.

Initial Access Brokers and Geography

Διαπιστώσαμε επίσης ότι ένας σημαντικός αριθμός αναρτήσεων πούλησε πρόσβαση σε θύματα που βρίσκονται στις

, ακολουθούμενη από την Αυστραλία και το Ηνωμένο Βασίλειο, υποδεικνύοντας μια ισχυρή προκατάληψη για επίθεση σε αγγλόφωνες χώρες.

, Μια βαθιά κατάδυση στα φόρουμ Hacking του Dark Web, TechWar.gr

Αριθμός αναρτήσεων IAB που πωλούν πρόσβαση σε κάθε χώρα, κατά τη διάρκεια των λίγων εβδομάδων που πραγματοποιήσαμε την έρευνά μας



Πηγή: Flare

Αν και δεν προκαλεί έκπληξη το γεγονός ότι οι Ηνωμένες Πολιτείες είναι μια από τις πιο στοχευμένες χώρες, ο τεράστιος αριθμός των θυμάτων στις ΗΠΑ ήταν εντυπωσιακός. Πάνω από το 36% των αναρτήσεων που αναλύσαμε αναφέρουν ένα θύμα που βρίσκεται στις Ηνωμένες Πολιτείες.


Key Takeaway:

Οι περισσότερες αναρτήσεις μεσίτη αρχικής πρόσβασης στο

φόρουμ Exploit

πωλούν πρόσβαση σε εταιρείες των ΗΠΑ, του Ηνωμένου Βασιλείου και της Αυστραλίας.

Ransomware και στοιχεία από τις αναρτήσεις

Σε τι χρησιμεύουν λοιπόν οι φορείς απειλών που χρησιμοποιούν την πρόσβαση που αποκτήθηκε από τα IAB; Οι αναρτήσεις τους μπορούν να μας δώσουν μια υπόδειξη. Ο πιο συνηθισμένος τύπος πρόσβασης που πωλήθηκε ήταν η πρόσβαση στο πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP) με δικαιώματα διαχειριστή,

φορέας κλειδιού για επιθέσεις ransomware

.

Είναι ενδιαφέρον ότι ορισμένες δημοπρασίες έλεγαν ότι ο οργανισμός-θύμα δεν είχε εφεδρική λύση και λύση ανάκτησης ή ότι το IAB είχε επίσης πρόσβαση στο εφεδρικό σύστημα. Αυτό είναι πιθανώς μια βασική ένδειξη ότι ο πωλητής αναμένει ότι η πρόσβαση θα χρησιμοποιηθεί για ransomware.

, Μια βαθιά κατάδυση στα φόρουμ Hacking του Dark Web, TechWar.gr

Ανάρτηση IAB που δείχνει ότι περιλαμβάνεται η πρόσβαση RDP



Πηγή: Flare

Στις λίγες αναρτήσεις στις οποίες βρήκαμε συγκεκριμένα καταχωρημένη πρόσβαση σε συστήματα δημιουργίας αντιγράφων ασφαλείας και ανάκτησης, οι τιμές blitz ήταν σημαντικά υψηλότερες από εκείνες χωρίς.


Key Takeaway:

Οι δημοπρασίες IAB είναι πιθανώς μια βασική πηγή εταιρικής πρόσβασης στο IT για ομάδες ransomware και θυγατρικές.

Φαγητό σε πακέτο για ομάδες ασφαλείας

Οι μεσίτες αρχικής πρόσβασης αποτελούν σημαντική απειλή για τις εταιρικές ομάδες ασφάλειας πληροφοριών. Τα IAB έχουν άμεσο οικονομικό κίνητρο να παραβιάζουν συσκευές, δίκτυα και

προκειμένου να τα μεταπωλούν σε αποκλειστικές αγορές και φόρουμ σκοτεινού ιστού. Στη Flare προτείνουμε τα εξής:

  • Δημιουργήστε ισχυρές δυνατότητες παρακολούθησης για μεγάλα φόρουμ και αγορές για το έγκλημα στον κυβερνοχώρο του σκοτεινού ιστού όπως τα BreachForums, Exploit, XSS και Russian Market.
  • Παρακολουθήστε τα φόρουμ του IAB για ενδείξεις ότι ο οργανισμός σας θα μπορούσε να παραβιαστεί ή ότι ένα από τα τρίτα μέρη σας μπορεί να παραβιαστεί.
  • Παρακολούθηση για αρχεία καταγραφής κλέφτη που μπορεί να περιέχουν εταιρικά διαπιστευτήρια και ενεργά cookie περιόδου λειτουργίας.

    Η έρευνα του Flare

    βρήκε εκατοντάδες χιλιάδες κούτσουρα κλοπής που διανέμονται στο Telegram, το Russian Market και το Genesis Market που περιέχουν πρόσβαση σε εταιρικές εφαρμογές SaaS.

Παρακολούθηση του οικοσυστήματος Ηλεκτρονικού Εγκλήματος με Φλόγα

Η Flare παρακολουθεί παράνομα φόρουμ και αγορές για να εντοπίσει τυχόν δραστηριότητες της IAB που αφορούν τους πελάτες μας.

Η εύχρηστη πλατφόρμα SaaS του Flare αυτοματοποιεί την ανίχνευση αρχείων καταγραφής κλέφτη στον καθαρό και σκοτεινό ιστό και στα παράνομα κανάλια Telegram.

Εγγραφείτε για ένα

δωρεάν δοκιμή

για να μάθετε περισσότερα σχετικά με το πώς το Flare μπορεί να ενισχύσει τις δυνατότητες παρακολούθησης του εγκλήματος στον κυβερνοχώρο του προγράμματος ασφαλείας σας σε 30 λεπτά.


Χορηγός και συγγραφή από

Φωτοβολίδα



bleepingcomputer.com


Παρόμοια άρθρα



Η HTC Global Services επιβεβαιώνει την…




Πώς να προστατέψετε το γραφείο εξυπηρέτησης σας




Το Kali Linux 2023.4 κυκλοφόρησε με GNOME 45 και…




Τα κακόβουλα bots αποτελούν σχεδόν τα τρία τέταρτα…






dark web


hacking


IAB


Initial Access Broker


ransomware


SaaS


telegram


web






Marizas Dimitris



79645 posts


10 comments

Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν.

Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.



You might also like




More from author


Leave A Reply



Cancel Reply

Your email address will not be published.