Now Reading
Jener beunruhigende Treppe von Netz-Access-Brokern

Jener beunruhigende Treppe von Netz-Access-Brokern

Der beunruhigende Aufstieg von Internet-Access-Brokern


Eine kürzliche Fund von drei verschiedenen Bedrohungsgruppen, die dieselbe Unterbau verwenden, um eine Warteschlange von böswilligen Aktivitäten auszuführen, hat neue Hinsicht hinaus die wachsende Rolle sogenannter Initial Access Broker (IABs) in dieser Untergrund-Wirtschaft dieser Cyberkriminalität gelenkt.

IABs sind Bedrohungsgruppen, die normalerweise in ein Zielnetzwerk einbrechen und dann den Zugang zu diesem Netzwerk an den Meistbietenden in Dark-Web-Märkten verkaufen. In einigen Fällen können sie wie am Schnürchen den Verkauf des Zugangs zu einem kompromittierten Netzwerk vereinfachen, während sie Zwischenhändlerdienste bewilligen.

Sicherheitsexperten betrachten solche Betreiber denn eine wachsende Gefahr, da sie es Cyberkriminellen – weitestgehend jeden Kalibers – zuteilen, schnell und mit geringem Eigenaufwand in ein Netzwerk einzudringen. So wie IaaS-Lieferant legitimen Organisationen eine relativ einfache Skalierung von Operationen zuteilen, spendieren IABs Bedrohungsakteuren die Möglichkeit, Information zu stehlen, Ransomware bereitzustellen und Schadsoftware zu verteilen, ohne sich um Rekognoszierung und erste Angriffsaktivitäten kümmern zu sollen.

“[The business model] ähnelt einer Verbindung, die eine legitime Geschäftsorganisation denn “Channel-Partner” bezeichnen würde”, sagt Eric Milam, Vice President of Research and Intelligence wohnhaft bei BlackBerry, dasjenige kürzlich ein solches IAB entdeckt hat, dasjenige jetzt denn Zebra2104 verfolgt wird. “Es wurde schon gesagt, wie Viele Organisationen dieser Cyberkriminalität funktionieren oft wie normale Unternehmen. Dies ist eine weitere Facette dieser legitimen Geschäftswelt, die sie übernommen nach sich ziehen, wie am Schnürchen weil sie so gut funktioniert.”

Sicherheitsanalysten von BlackBerry sind kürzlich wohnhaft bei Recherchen pro ein Buch via den Werkstatt von Zebra2104 gestolpert. Die Forscher des Unternehmens beobachteten eine Schulfach, hinaus die sie wohnhaft bei einer früheren Bedrohungssuche gestoßen waren, und beschlossen, weitere Untersuchungen durchzuführen.

Die Bemühungen zeigten, dass zwei Ransomware-Gruppen – MountLocker und Phobos – und eine andere von Cyberspionage motivierte Haufen fortschrittlicher persistenter Bedrohungen namens StrongPity an verschiedenen Stellen rechnerunabhängig dieselbe Unterbau in ihren Kampagnen verwendet hatten. Die von den BlackBerry-Forschern ausgegrabenen und analysierten Telemetriedaten zeigten, dass Zebra2104 jeder Bedrohungsgruppe den ersten Zugang zu den Umgebungen dieser Todesopfer ermöglicht hatte.

“Die Bedrohungsgruppen nutzten die Unterbau hinaus unterschiedliche Weise”, sagt Milam. Die Betreiber von Mount Locker und Phobos nutzten die von Zebra2104 bereitgestellte Unterbau, um Cobalt Strike Beacons und ihre namensgebende Ransomware aus finanziellen Gründen einzusetzen. Die StrongPity-Gangart setzte ihre eigene namensgebende Schadsoftware hauptsächlich ein, um Information zu stehlen.

„Nachdem unserem Kenntnisstand nach sich ziehen die Bedrohungsgruppen die kompromittierten Netze nicht taktgesteuert genutzt, da dies aus logistischer Sicht nicht sinnvoll wäre“, sagt Milam.

BlackBerry-Forscher konnten nicht feststellen, wie es den drei unterschiedlichen Bedrohungsgruppen gelang, ihre Kampagnen vor den Opferorganisationen zu verbergen. Es ist gleichfalls unklar, ob Zebra2104 selbst Zugriff hinaus die kompromittierte Umgebung erlangt hat oder ob es ein Zwischenhändler zwischen den Parteien war. Wäre es tatsächlich derjenige gewesen, dieser in die Umgebung eingebrochen wäre, hätte dieser erste Zugriff hinaus verschiedene Weise erfolgen können, einschließlich via Spear-Phishing, kompromittierte oder schwache Passwörter, Exploits von Sicherheitslücken oder verschmelzen böswilligen Insider.

Eine Sache, die BlackBerry-Forscher entdeckten, war, dass die Unterbau, zu dieser Zebra2014 den Zugriff verkaufte, starke Verbindungen zu einer bösartigen Spam-Kampagne hat, die Microsoft Ursprung des Jahres gemeldet hat. „Es ist wahrscheinlich, dass dies ein Schlüsselfaktor pro den ersten Zugang ist, da Phishing heute verschmelzen dieser größten Infektionsvektoren pro Bedrohungsakteure darstellt“, sagt Milam.

Wachsende Popularität
Digital Shadows, dasjenige seitdem 2016 IABs verfolgt, meldete Ursprung des Jahres eine Zunahme dieser Nutzung von IABs unter Cyberkriminellen. Dies Unternehmen führte die wachsende Popularität hinaus den starken Steigung relativ schwach geschützter Remote-Access-Netzwerke und virtueller privater Netzwerke zurück, seitdem die COVID-19-Weltweite Seuche eine Verlagerung hinaus eine verteiltere Arbeitsumgebung erzwang.

Digital Shadows stellte starr, dass IABs am häufigsten kompromittierte Remote Desktop Protocol (RDP)-Systeme und VPNs denn erste Zugangspunkte pro ihre Kunden anboten. Im dritten Quartal 2021 betrug dieser durchschnittliche Preis, den IABs pro den Zugriff hinaus ein kompromittiertes VPN berechneten, 1.869 US-Dollar – oppositionell 1.446 US-Dollar zuvor. Z. Hd. RDP-Systeme lag dieser Durchschnittspreis wohnhaft bei 1.902 US-Dollar. IABs boten am häufigsten Zugang zu Netzwerken von Organisationen aus den Bereichen Einzelhandel, Technologie und Industriegüter und Dienstleistungen.

„Initial Access Broker sind zu einer tragenden Säule dieser Cyberkriminalität geworden, und dies fiel mit dem Trend zusammen, dass die globale Cyberkriminalität schlanker und effizienter wird“, sagt Chris Morgan, Threat Intelligence Problemanalytiker wohnhaft bei Digital Shadows. Er prognostiziert, dass die im dritten Quartal dieses Jahres beobachteten IAB-Werte wahrscheinlich im vierten Quartal und solange bis 2022 entweder einstellen oder ansteigen werden.

Morgan sagt, dass die Arten von Bedrohungsakteuren, die IAB-Listen kaufen, vielfältig sind, hingegen die größten Benutzer sind Ransomware-Gruppen. “Die Mehrheit dieser IAB-Listen wird wahrscheinlich nur Zugriff hinaus eine Untermenge von Systemen und Servern in einem Opfernetzwerk offenstehen”, sagt er. Käufer erhalten jedoch weitestgehend immer verschmelzen konsistenten und stabilen Zugangspunkt in dasjenige Netzwerk des Ziels, in dem dieser Handelnder dann Persistenz ermutigen und sich seitwärts in Bewegung setzen kann.

“Die Notierung wird in hohem Metrik von einer Warteschlange von Faktoren herumhängen, darunter dasjenige Architekturdesign und die verwendeten Sicherheitsprinzipien des Zielunternehmens – einschließlich dieser Netzwerksegmentierung und des Zugriffsmanagements”, bemerkt Morgan.

Die Preise, die IABs fakturieren, werden von mehreren Faktoren geprägt, einschließlich dieser Größe einer Organisation und dieser Stil dieser Informationen, hinaus die via ihr Netzwerk zugegriffen werden kann. In einigen Fällen sind die Preise an den Jahresumsatz eines Unternehmens gebunden – je höher dieser Umschlag, umso höher die anfänglichen Zugangskosten.

“Z. Hd. VPN und RDP”, sagt Morgan, “verkauft dasjenige IAB normalerweise eine Paarung von Anmeldeinformationen aus Benutzername und Passwort zusammen mit einem bestimmten IP-Port.”

What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top