从初始访问经纪人(IAB)趋势演变而来的网络犯罪服务平均成本为5,400美元。近年来,勒索软件即服务(RaaS)社区对初始访问代理非常感兴趣,因为通过直接雇用或付费访问目标系统,可以节省大量的时间和精力。在目标网络和费用中站稳脚跟。初始访问代理是通过各种方式获得对受害者网络的初始访问权限的个人或团体。他们最常用的方法是暴力访问易受攻击的远程桌面协议(RDP)或远程管理软件。有时,攻击者还会利用系统中未修补的漏洞。但是,无论采用何种方法,一旦成功获得访问权限,这些代理就可以将其转售给其他人,有时不止一次。对于网络犯罪分子来说,购买现成的企业网络访问权限的优势显而易见:买家无需花时间尝试识别受害者并获得他们的远程访问权限,而是可以直接从菜单中按收入、国家和行业挑选受害者选项。或者,然后选择所需的远程访问类型。正如网络安全公司CrowdStrike所说,当犯罪恶意软件运营商购买访问权限时,他们可以节省大量识别目标和获取访问权限的时间,从而腾出精力和资金来部署更多更快的活动,以获得更高的货币化潜力。特别是对于使用勒索软件的犯罪分子来说,购买访问权限的成本可能只是赎金的一小部分,但却为他们节省了大量闯入受害者网络所需的时间和精力。安全专家表示,犯罪团伙从事大规模狩猎——摧毁大型目标以获得更大的赎金——严重依赖初始访问代理来选择目标和获得访问权限。近年来,随着使用秘密来针对恶意软件攻击者的需求不断增长,初始访问代理的业务模型得到了改进。那么初始接入市场的现状究竟如何呢?以色列威胁情报公司Kela审查了过去一年在可公开访问的网络犯罪论坛上出售的1,000个访问列表,并声称其中至少有262个被确定为“已出售”。状态。根据这些访问列表,Kela确定了初始访问代理空间的10个主要趋势:1.负担得起的访问成本Kela报告称,2020年7月1日至2021年6月30日期间远程访问网络的平均成本为5,400美元,而中位价为1,000美元。根据勒索软件响应公司Coveware的数据,Access的平均售价为5,400美元,而受害者最近平均支付了137,000美元的赎金,而今年第二季度受害者支付的平均赎金高达137,000美元。对比可见,直接购买访问权确实是不法分子经济快捷的选择。2.远程桌面协议(RDP)和虚拟网络凭证受到重创远程桌面协议(RDP)和虚拟网络凭证是初始访问代理提供的最常见的访问类型。但除此之外,他们还提供其他类型的访问——例如,通过远程管理软件,许多托管服务提供商将这些软件安装在他们为客户管理的端点上。买方出售对远程监控和管理软件的访问权。一些攻击者还提供对某些类型环境的访问。例如,VMWare的ESXi服务器最近在勒索软件攻击者中非常流行。买家购买对VMWare的ESXi服务器的根访问权事实上,REvil(又名Sodinokibi)、DarkSide和现在的BlackMatter都构建了恶意软件,以加密方式锁定运行ESXi服务器的Linux设备,以便他们的数据可以被勒索。3.ActiveDirectory凭据:一个非常有价值的选择根据Kela的报告,初始访问代理提供的最有价值的产品包括域管理员权限。想象一下,让域管理员访问MicrosoftActiveDirectory意味着您可以使用IT工具将加密锁定的恶意软件分发到组织内的每个端点。一次强行加密更多系统可能会增加受害者支付赎金以换取解密工具承诺的机会。4.TopAttacks:美国组织Kela发现,在调查名单中,美国的远程访问凭证最多,占整个名单的28%,其次是法国、英国、澳大利亚、加拿大、意大利、巴西、西班牙、德国和阿拉伯联合酋长国。5.主要影响行业:制造业调查发现,上榜的组织数量最多的是制造业,其次是教育、IT、金融服务、政府和医疗保健。这些代理不仅会出售对大型企业的访问权,还会出售对小型企业的访问权,只是价格要低得多,通常为100-200美元。6.通常针对一个买家出售一些代理商会列出他们出售的接入样本,并告诉买家与他们联系以获取更多详细信息。单个买家寻求大量访问权限的两个帖子,包括“来自一级国家/地区的70个Citrix访问权限”(左)和ActiveDirectory管理员级别访问权限(右)。这些代理人通常倾向于让买家公司买下它正在出售的所有访问权限,如果攻击成功,他们有时甚至会要求一定比例的赎金。7.多种货币化策略一些网络访问代理似乎不仅出售访问权限,还出售来自受害者环境的数据。例如,去年年底,一名代理商以4,000美元的价格出售了巴基斯坦国际航空公司的使用权。在出售对航空公司网络的访问权限一周后,代理商宣布将继续出售航空公司网络中的所有数据库。在这种情况下,代理人使用他获得的航空公司网络访问权限窃取公司的数据,然后他试图通过两种不同的方式将其货币化。如今,许多威胁情报公司正在监视地下论坛,以试图获取有关潜在受害者的详细信息。虽然这是一项付费服务??,但通过这种类型的监控收集的情报可以让受害者更快地发现他们可能错过的网络入侵。InitialAccessProxy宣传对一家航空公司的访问权,然后出售据称来自巴基斯坦国际航空公司的15个数据库出售网络访问权和勒索软件攻击之间存在时间差,以尽早检测公司网络,您的安全团队越有可能缓解问题并进一步防止勒索软件攻击造成的损害。8.特工回应白宫的举动近几个月来,勒索软件已成为一个政治上的烫手山芋。拜登政府要求俄罗斯政府严厉打击从俄罗斯境内袭击美国目标的犯罪分子,并威胁称,如果俄罗斯当局不尽快采取行动,将直接予以解散。作为回应,一些网络犯罪论坛——包括俄语Exploit和XSS论坛——已经宣布禁止勒索软件通信,尽管安全专家表示此类禁令并不总是得到严格执行。同样,一些初始访问代理似乎对列出某些类型的受害者(例如医疗保健实体)变得更加谨慎。9.私人通讯继续Kela报告说,虽然勒索软件的推广在主要的网络犯罪论坛上已被禁止,但销售很可能仍在幕后进行。比如去年,随着疫情的持续,一些代言人“发布了医疗行业的受害者,然后在受到其他用户的批评后删除了引用”,但不排除他们后来通过其他方式出售了针对医疗行业的信息。途径。访问权限的可能性。初始访问代理场景永远不会是静态的。安全专家表示,新的卖家不断涌现,为新的受害者做广告。但要知道有多少组织遭到破坏可能很困难,因为并非所有类型的访问都发布在网络犯罪论坛上。即使他们这样做了,代理人也经常掩盖受害者的身份,因为很明显,他们不想让受害者知道这件事。虽然一些论坛确实限制了对勒索软件的讨论,但潜在的初始访问代理购买者当然不必声明他们购买此类访问是为了进行勒索软件攻击。此外,虽然Exploit和XSS禁止管理员为DarkSide和REvil等组织持有的帐户提供服务,但这些组织可以简单地以其他名称创建新帐户以继续购买访问权限或建立关系。10.与犯罪集团建立合作伙伴关系许多老牌代理人似乎与特定的犯罪集团或勒索软件运营附属机构建立了合作伙伴关系,这也使他们不必在公共网络犯罪论坛上宣传“访问权限”进行销售,而是可以直接通过私人实现资源共享沟通。与前几个季度相比,第二季度访问的列表数量有所减少,这可能反映了这种转变。除了与犯罪团伙建立伙伴关系外,许多代理商还在网络犯罪论坛上列出了部分详细信息,并告诉潜在买家私下沟通以了解更多详细信息。勒索软件运营商寻求“独家业务关系”的访问代理——或者至少是优先拒绝权——也是一种至少从去年年底开始的新趋势。就在去年年底,DarkSide勒索软件即服务组织在网络犯罪论坛上发帖称,它需要访问代理,以便能够访问年收入至少为4亿美元的美国企业。“许多大型勒索软件运营商似乎已经建立了广泛的连接列表,并建立了一个完善的关系拓扑,”安全公司趋势科技网络犯罪研究主管BobMcArdle说。.虽然这些勒索软件组可能随时解体,但没有什么能阻止运营商和附属机构在离开或加入新组时携带这些连接,并继续将其应用到新组中。本文翻译自:https://www.bankinfosecurity.com/10-initial-access-broker-trends-cybercrime-service-evolves-a-17249如有转载请注明出处。
