10 روند کارگزار دسترسی اولیه: سرویس جرایم سایبری تکامل می یابد

تعداد لیست دسترسی برای فروش در انجمن های جرایم سایبری (منبع: KELA)

ظهور باج افزار به عنوان یک نیروگاه پولی برای مهاجمان آنلاین موازی خدمات ارائه شده توسط کارگزاران دسترسی اولیه است. چنین کارگزاران دسترسی به عنوان خدماتی به دیگران می فروشند و باعث صرفه جویی در وقت ، تلاش و هزینه به دست آوردن یک تائول در شبکه یک سازمان می شوند.

کارگزاران دسترسی اولیه به روشهای مختلفی دسترسی اول به شبکه های قربانیان را بدست می آورند - غالباً از طریق پروتکل دسک تاپ از راه دور ضعیف یا نرم افزار مدیریت از راه دور که به آنها دسترسی به نیروی بی رحمانه داده اند. بعضی اوقات ، مهاجمان از آسیب پذیری غیرقابل توصیف در یک سیستم سوء استفاده می کنند. هر چه رویکردی باشد ، پس از دسترسی ، کارگزاران می توانند آن را به دیگران ، گاهی اوقات بیش از یک بار دوباره بفروشند (نگاه کنید به: یاور Ransomware: کارگزاران دسترسی اولیه شکوفا می شوند).

برای مجرمان ، مزیت خرید دسترسی آماده به یک شبکه شرکتی به راحتی قابل مشاهده است: به جای گذراندن وقت برای شناسایی قربانیان و دستیابی به دسترسی از راه دور ، خریداران می توانند از منویی از گزینه ها انتخاب کنند ، قربانیان را بر اساس درآمد ، کشور و بخش خود انتخاب کنند، و همچنین نوع دسترسی از راه دور در حال ارائه.

همانطور که شرکت امنیت سایبری CrowdStrike خاطرنشان کرده است: "هنگامی که اپراتورهای بدافزار جنایی دسترسی را خریداری می کنند ، نیاز به صرف وقت برای شناسایی اهداف و دستیابی به دسترسی را از بین می برد ، امکان استقرار افزایش یافته و سریعتر و همچنین پتانسیل بالاتر برای کسب درآمد را فراهم می آورد."

به ویژه برای مجرمان با باج افزار ، خرید دسترسی می تواند بخشی از آنچه را که باج موفقیت آمیز وارد می شود هزینه کند ، بدون این که دردسر سعی در هک کردن در شبکه قربانی داشته باشد. کارشناسان امنیتی می گویند باندهای جنایتی که شکار بازی های بزرگ را انجام می دهند - در جستجوی باج های بزرگتر ، اهداف بزرگی را پایین می آورند - به ویژه برای انتخاب هدف به کارگزاران دسترسی اولیه وابسته هستند.

بنابراین مدل کسب و کار کارگزار دسترسی اولیه در سالهای اخیر پیش می رود ، و تقاضا از مهاجمان که دارای بدافزار قفل رمزنگاری هستند ، سنگین باقی مانده است.

وضعیت فعلی بازار دسترسی اولیه چیست؟شرکت اطلاعاتی تهدید اسرائیل Kela در طی یک سال گذشته 1000 لیست دسترسی ارائه شده برای فروش در انجمن های جرایم سایبری قابل دسترسی را بررسی کرد ، که گفته می شود حداقل 262 مورد تأیید شده است.

بر اساس این لیست ها ، در اینجا 10 روند مشاهده شده است:

1. دسترسی مقرون به صرفه

برای دوره اول ژوئیه 2020 ، تا 30 ژوئن ، KELA گزارش می دهد که میانگین قیمت دسترسی از راه دور به یک شبکه 5،400 دلار بوده است ، در حالی که قیمت متوسط 1000 دلار بود.

میانگین دسترسی به فروش 5،400 دلار هزینه دارد ، در مقایسه با باج پرداخت شده توسط یک قربانی که اخیراً به طور متوسط 137،000 دلار پرداخت شده است.(منبع: Coveware)

به خاطر مقایسه ، میانگین باج پرداخت شده توسط یک قربانی در سه ماهه دوم سال جاری ، 137،000 دلار بوده است.

2. قانون اعتبار RDP و VPN

پروتکل دسک تاپ از راه دور و اعتبار VPN رایج ترین انواع دسترسی در لیست بودند. اما انواع دیگر دسترسی نیز ارائه می شود - به عنوان مثال ، از طریق نرم افزار مدیریت از راه دور ، که بسیاری از ارائه دهندگان خدمات مدیریت شده در نقاط پایانی که برای مشتریان مدیریت می کنند ، نصب می کنند.

خریدار دسترسی به نرم افزار نظارت و مدیریت از راه دور (منبع: KELA)

برخی از مهاجمان همچنین به انواع خاصی از محیط ها دسترسی دارند. به عنوان مثال ، "سرورهای ESXI VMware اخیراً در بین مهاجمان باج افزار بسیار محبوب شده اند."

خریدار دسترسی به سطح ریشه به محیطی که سرورهای VMware ESXI را اجرا می کند (منبع: KELA)

در واقع ، Revil - AKA Sodinokibi - و همچنین Darkside و اکنون Blackmatter همه بدافزار را ساخته اند که قادر به قفل کردن رمزنگاری دستگاه های لینوکس هستند که سرورهای ESXI را اجرا می کنند تا داده های آنها برای باج گیری برگزار شود.

3. اعتبارنامه Active Directory: ارزشمند فوق العاده

Kivilevich در این گزارش می نویسد: "با ارزش ترین پیشنهادات شامل امتیازات مدیر دامنه در رایانه در یک شرکت با صدها میلیون دلار درآمد است."داشتن دسترسی دامنه-آمین به Microsoft Active Directory به این معنی است که یک مهاجم می تواند از ابزار IT برای توزیع بدافزار قفل رمزنگاری در هر نقطه پایانی در یک سازمان استفاده کند. رمزگذاری به زور سیستم های بیشتر به یکباره ممکن است این احتمال را که یک قربانی در ازای وعده یک ابزار رمزگشایی باج می دهد ، افزایش دهد.

4. هدف برتر: سازمان های آمریکایی

Kela دریافت که بیشترین تعداد اعتبار از راه دور دسترسی در لیست ، برای اهداف در ایالات متحده بود که 28 ٪ از همه لیست ها را به خود اختصاص می داد ، و پس از آن فرانسه ، ایالات متحده ، استرالیا ، کانادا ، ایتالیا ، برزیل ، اسپانیا ، آلمان وامارات متحده عربی.

محل قربانیانی که دسترسی آنها توسط کارگزاران فروخته می شود ، همانطور که از ژوئیه 2020 تا ژوئن 2021 تجزیه و تحلیل شده است (منبع: KELA)

5- دسترسی به تولید منجر به پیشنهادات می شود

سازمان های بخش تولید بیشترین لیست را داشتند و پس از آن آموزش ، فناوری اطلاعات ، خدمات مالی ، دولت و مراقبت های بهداشتی. و کارگزاران فقط دسترسی به بنگاه های بزرگ را نمی فروشند. كلا خاطرنشان می كند كه برای دسترسی به بنگاه های كوچك "پیشنهادات زیادی" وجود داشته است كه اغلب با قیمت 100 تا 200 دلار خرده فروشی می شود.

6. یک خریدار که اغلب ترجیح می داد

برخی از کارگزاران نمونه ای از دسترسی آنها برای فروش را لیست می کنند و به خریداران می گویند تا برای اطلاعات بیشتر با آنها تماس بگیرند.

دو پست به دنبال خریداران مجرد برای تعداد زیادی از دسترسی ها ، از جمله "دسترسی 70 Citrix از کشورهای درجه یک" (سمت چپ) و دسترسی به سطح Active Directory Administrator (سمت راست)

کیویویچ می گوید: "این کارگزاران به طور کلی علاقه مند به دریافت یک خریدار برای همه دسترسی های فروخته شده هستند و گاهی اوقات تا آنجا پیش می روند که در صورت موفقیت حمله ، درصد از باج را درخواست می کنند."

7. چندین استراتژی کسب درآمد

به نظر می رسد برخی از کارگزاران دسترسی به شبکه نه تنها دسترسی بلکه داده های محیط قربانیان را نیز می فروشند. یک نمونه شامل شرکت هواپیمایی بین المللی پاکستان بود که یک کارگزار در اواخر سال گذشته به 4000 دلار دسترسی می یافت. به گفته كلا ، "هفته پس از دسترسی به شبکه هواپیمایی ، این بازیگر اعلام كرد كه او همچنین تمام پایگاه داده ها را از شبکه هواپیمایی می فروشد.""بنابراین ، این بازیگر دو رویکرد مختلف را برای تلاش و کسب درآمد انجام داد و از دسترسی شبکه به شبکه هواپیمایی که وی برای تبعید داده های شرکت بدست آورد ، استفاده کرد."

بسیاری از شرکت های اطلاعاتی تهدید اکنون برای جزئیات بیشتر در مورد قربانیان بالقوه ، انجمن های زیرزمینی را رصد می کنند. در حالی که این یک سرویس پولی است ، اطلاعاتی که از چنین نظارتی برخوردار است می تواند به قربانیان این امکان را بدهد که سریعتر از بین بروند ، مزاحمت های شبکه ای را که ممکن است از دست داده اند ، قفل کنند.

یک کارگزار دسترسی اولیه ابتدا قبل از فروش بعدی 15 پایگاه داده به سرقت رفته از شرکتهای هواپیمایی بین المللی پاکستان ، دسترسی به یک شرکت هواپیمایی را تبلیغ کرد.(منبع: کلا)

"زمان دسترسی به شبکه برای فروش و یک حمله باج افزار که اتفاق می افتد قریب الوقوع نیست ، بنابراین هرچه زودتر تشخیص ضعف در شبکه سازمان شما باشد ، شانس بهتری برای تیم امنیتی شما برای کاهش این ضعف و جلوگیری از آسیب بیشتر در اثر باج افزار وجود دارد."Kivilevich می نویسد.

8. کارگزاران نسبت به حرکات کاخ سفید واکنش نشان می دهند

در ماه های اخیر ، Ransomware به یک سیب زمینی داغ سیاسی تبدیل شده است. دولت بایدن خواستار این شد كه مسكو به جنایتكارانی كه به اهداف آمریكا از داخل روسیه برخورد می كنند ، سرکوب کند و تهدید کند که اگر مقامات روسی به زودی عمل نکنند ، آنها را مستقیماً مختل کنند (ببینید: آیا Revil منحل شده است؟ کاخ سفید می گوید که نمی داند).

در پاسخ ، برخی از تالارهای جرایم سایبری - از جمله بهره برداری از زبان روسی و انجمن های XSS - ممنوعیت باج افزار را اعلام کرده اند ، اگرچه کارشناسان امنیتی می گویند چنین ممنوعیت هایی همیشه به شدت اجرا نمی شوند. به همین ترتیب ، به نظر می رسد برخی از کارگزاران دسترسی اولیه نسبت به لیست برخی از قربانیان مانند نهادهای مراقبت های بهداشتی محتاط تر شده اند.

9. ارتباطات خصوصی هنوز اتفاق می افتد

اما چنین فروش هایی ممکن است در پشت صحنه اتفاق بیفتد. به عنوان مثال ، سال گذشته ، Kela's Kivilevich گزارش داد که برخی از کارگزاران "قربانیان بخش مراقبت های بهداشتی را ارسال می کنند و سپس پس از انتقاد از کاربران دیگر ، پیشنهادات را حذف می کنند" ، با ادامه این همه گیر ، اما احتمالاً بعداً آنها را از طریق سایر وسایل فروخت.

صحنه کارگزار دسترسی اولیه هرگز ایستا نیست. کارشناسان امنیتی می گویند که فروشندگان جدید به طور مداوم ظاهر می شوند ، دسترسی به قربانیان تازه تر و در عین حال تازه تر. اما درک اینکه چند سازمان مورد اصابت قرار گرفته است ، می تواند دشوار باشد ، زیرا همه نوع دسترسی در انجمن های جرایم سایبری ارسال نمی شود. و حتی وقتی این کار را انجام دهند ، کارگزاران اغلب هویت قربانی را مبهم می کنند ، زیرا ، البته ، آنها نمی خواهند ببینند که قربانی از بین می رود.

در حالی که برخی از انجمن ها بحث های باج افزار را محدود کرده اند ، البته خریداران کارگزار دسترسی اولیه ، البته لازم نیست بگویند که چرا آنها چنین دسترسی را خریداری می کنند. علاوه بر این ، در حالی که بهره برداری و XS حساب های ممنوع شده توسط مدیران برای گروه هایی مانند Darkside و Revil ممنوع است ، این گروه ها می توانند به سادگی حساب های جدیدی را به نام های دیگر ایجاد کنند تا بتوانند دسترسی یا ایجاد روابط را ادامه دهند.

10. گروه های غالب روابط را تقویت می کنند

به نظر می رسد بسیاری از کارگزاران مستقر با گروه های خاص جرم و یا شرکت های وابسته به عملیات باج افزار ، روابط خود را ایجاد می کنند و باعث می شوند که آنها دیگر "دسترسی" خود را برای فروش در انجمن های جرایم سایبری عمومی ذکر نکنند ، بلکه آنها را از طریق مکالمات خصوصی به اشتراک می گذارند.

او می گوید تعداد لیست های دسترسی در Q2 کاهش یافته است ، در مقایسه با سه ماهه های قبلی ، که ممکن است چنین تغییراتی را منعکس کند. به عنوان مثال ، کارگزاران چندگانه جزئیات جزئی را در یک انجمن جرایم سایبری ذکر می کنند و به خریداران می گویند که برای اطلاعات بیشتر به صورت خصوصی ارتباط برقرار کنند.

اپراتورهای باج افزار به دنبال کارگزاران دسترسی برای روابط تجاری انحصاری - یا حداقل حق امتناع - روندی است که به نظر می رسد حداقل تا پایان سال گذشته آغاز شده است. این زمانی بود که عملیات باج‌افزار به‌عنوان سرویس DarkSide در انجمن‌های جرایم سایبری پست شد که می‌خواست کارگزارانی را پیدا کند که بتوانند با حداقل 400 میلیون دلار درآمد سالانه به کسب‌وکارهای ایالات متحده دسترسی داشته باشند.

ارسال توسط اپراتورهای DarkSide به یک انجمن جرایم سایبری به زبان روسی (منبع و ترجمه: Kela)

باب مک‌آردل، مدیر تحقیقات جرایم سایبری در شرکت امنیتی Trend Micro، می‌گوید: به نظر می‌رسد بسیاری از عملیات‌های باج‌افزار بزرگ‌تر فهرست گسترده‌ای از ارتباطات را ایجاد کرده‌اند و روابط خوبی ایجاد کرده‌اند. در حالی که ممکن است گروه‌های باج‌افزار منفرد بیایند و بروند، اما هیچ چیز مانع اپراتورها و شرکت‌های وابسته نیست که این ارتباطات را با خود هنگام شروع یا پیوستن به گروه‌های جدید ترک کنند.