Initial Access Brokers: Det uundværlige led i forsyningskæden for cyberkriminalitet

Dette år er på vej til at blive en rekord-breaker for ransomware-grupper. Blockchain-analyse afslører at "tilstrømning" til kryptovalutaadresser forbundet med kriminelle nåede 460 millioner dollars i første halvdel af 2024, op fra 449 millioner dollars i samme periode sidste år. Og den gennemsnitlige løsesum for nogle af de mest produktive ransomware-grupper er steget fra lige under $200,000 i begyndelsen af ​​2023 til $1.5 mio. i midten af ​​juni 2024.

Nu er der mange grunde til, at ransomware-grupper, og cyberkriminalitet under jorden generelt, fortsætter med at blomstre. Men en stor del af deres succes ligger hos den indledende adgangsmægler (IAB): en kritisk aktør i forsyningskæden for cyberkriminalitet. At finde en måde at afbøde deres taktik, teknikker og procedurer (TTP'er) vil være afgørende, hvis organisationer ønsker at minimere deres eksponering for finansielle risici og omdømmerisici.

Øjne på prisen

På et meget simpelt niveau er IAB'er så vigtige, fordi de fokuserer på én ting og gør det usædvanligt godt. Ved kun at koncentrere sig om den første fase af et angreb, isolerer de sig selv fra retshåndhævelse – noget de også opnår ved at arbejde privat med ransomware-as-a-service (RaaS) tilknyttede selskaber. På den anden side kan andre cyberkriminelle fokusere mere af deres tid på at skalere deres indsats ved at outsource det tidskrævende arbejde med at udvælge mål og få adgang til offerorganisationer til IAB.

Når de ikke arbejder privat med RaaS-grupper, lister IAB'er deres tjenester på hackingfora, hvilket gør det muligt for forskere at få et bedre informeret billede af markedet. Ifølge en ny Cyberint rapport, nogle tilbyder bundtede tilbud, mens andre sælger adgang individuelt, og personer, der har tillid til, kan kræve, at købere kontakter dem direkte uden at give nogen oplysninger overhovedet.

Rapporten fremhæver tre hovedtyper af IAB. Dem, der sælger adgang til:

• Systemer kompromitteret af bagdøre og anden malware installeret på netværkscomputere
• Servere kompromitteret gennem brute-forcing Remote Desktop Protocol (RDP)
• Kompromitterede netværksenheder, såsom VPN-servere og firewalls, som er et springbræt ind i virksomhedens netværk

Ifølge Cyberint var RDP-adgang mest almindelig i 2023, og den tegnede sig for over 60 % af IAB-lister. Men indtil videre i år er RDP-adgang (41%) blevet udfordret af VPN-kompromis (45%).

Andre adgangstyper omfatter:

• E-mail: Ofte via kompromitterede legitimationsoplysninger, som gør det muligt for angribere at læse, sende og manipulere e-mails
• Database: Via stjålne legitimationsoplysninger eller sårbarhedsudnyttelse
• Webshell: Disse er scripts, der tillader trusselsaktører at fjernadministrere/udføre kommandoer på en målrettet server
• Shell/kommandolinjeadgang: Tilvejebringelse af en kommandolinjegrænseflade til et kompromitteret system, som muliggør direkte udførelse af kommandoer
• Fildelinger: Adgang til delte drev og filservere, ofte gennem kompromitterede legitimationsoplysninger eller sideværts bevægelse

IAB'er kan også liste deres salg efter privilegietype – domæneadministrator, lokal administrator eller domænebruger – hvor den højere privilegerede adgang koster mere. Selvom adgang til nogle værdifulde miljøer kan resultere i annoncer til en pris på mere end $10,000, falder de fleste IAB-indlæg mellem $500-$2000. Det er en indikation af markedets kommodificerede karakter. Faktisk, selvom IAB'er i stigende grad fokuserer på højindtjenende virksomhedsofre, er gennemsnitsprisen for fortegnelser faldet 60% årligt til $1,295, ifølge Cyberint.

Vil IAB'er komme efter din organisation?

Over en fjerdedel (27 %) af fortegnelserne analyseret af Cyberint i 2024 var til adgang hos organisationer med over 1 mia. USD i omsætning. Faktisk er den gennemsnitlige indtjening for ofrene indtil videre i år $1.9 mia. Men det betyder ikke, at mindre organisationer er gået i stå, ifølge Cyberint-sikkerhedsforsker, Adi Bleih.

"I første halvdel af 2024 afslører vores data, at organisationer med en omsætning på under 10 mio. USD udgjorde 18.5 % af alle adgangsfortegnelser på store undergrundsfora. Dette betyder, at næsten en ud af fem målrettede organisationer er SMB'er, hvilket fremhæver en betydelig risiko for denne sektor," siger han til ISMS.online.

"Ser vi mere bredt på mellemstore virksomheder med en omsætning mellem $10 mio. og $100 mio., falder 29.5% af alle målrettede organisationer inden for dette interval. Det betyder, at virksomheder, der tjener under $100 mio., udgør 48 % af alle indledende adgangsmæglermål."

Andre steder er det mest sandsynligt, at amerikanske organisationer er i trådkorset, og de tegner sig for næsten halvdelen (48 %) af de undersøgte IAB-lister. Det er efterfulgt af Frankrig, Brasilien, Indien og Italien. Men da Storbritannien er et top-to ransomware-mål, er der masser til at holde britiske CISO'er vågne om natten. Ifølge rapporten er de mest målrettede sektorer forretningsservice, finans, detailhandel, teknologi og fremstilling. Sidstnævnte steg fra 14 % af noteringerne i 2023 til 23 % hidtil i år.

Blokering af indledende adgang og videre

Selvom ingen organisation virkelig er sikret mod IAB-angreb, er den gode nyhed, at trusselsaktørerne selv har en tendens til at holde sig til afprøvede hackingteknikker. Det betyder, at bedste praksis-sikkerhed vil hjælpe netværksforsvarere med at komme langt med at neutralisere enten indledende adgang, eller hvad der kommer dernæst. Cyberint anbefaler simple trin som multi-factor authentication (MFA), mindste privilegerede adgangspolitikker, regelmæssig patching, sikkerhedsbevidsthedstræning, begrænset RDP-brug, indtrængningsdetektion (IDS), netværkssegmentering og mørk web-overvågning.

Heldigvis er standarder og rammer for bedste praksis en fantastisk måde at formalisere sådanne praksisser på.

Som et eksempel, ISO 27001 omhandler følgende:

• Adgangskontrol: (Bilag A.9). Hjælper med at reducere risikoen for, at IAB'er infiltrerer deres netværk.

• Hændelseshåndtering og -respons: (Bilag A.16) Hurtig detektering og reaktion på indledende adgang kan hjælpe med at begrænse brud, før de kan tjene penge på dem.
• Sikkerhedsbevidsthed og træning: (Bilag A.7.2.2) Dette reducerer sandsynligheden for, at IAB'er får adgang via menneskelige fejl, såsom phishing eller svage adgangskoder.
• Netværkssikkerhedskontrol: (Bilag A.13) Opdeling af netværket i mindre, isolerede segmenter begrænser trusselsaktørers evne til at bevæge sig sideværts, når de først er inde i netværket.
• Overvågning og logning: Kontinuerlig overvågning og logning af netværksaktivitet registrerer og advarer om enhver uautoriseret adgangsforsøg.
• Firewall og IDS/IPS-konfiguration: Korrekt konfiguration hjælper med at opdage og blokere mistænkelige netværksaktiviteter mere effektivt.
• Patch Management og Vulnerability Management: (Bilag A.12.6.1) Reducerer antallet af udnyttelige sårbarheder, IAB'er kan bruge til at få indledende adgang.
• Supply Chain Security: (Bilag A.15) Hjælper med at forhindre IAB'er i at få uautoriseret adgang gennem usikre tredjeparter.
• Kryptografi og databeskyttelse: (Bilag A.10) Datakryptering vil begrænse værdien af, hvad der tilgås efter et IAB-brud.
• Fysisk og miljømæssig sikkerhed: (Bilag A.11) Reducerer risikoen for, at IAB'er får indledende adgang via fysiske midler, såsom en kompromitteret medarbejder.

ISO 27001 er baseret på en Plan-Do-Check-Act (PDCA) cyklus, som lægger vægt på løbende forbedring af informationssikkerhedsstyringssystemet (ISMS). Regelmæssige interne revisioner, ledelsesgennemgange og sikkerhedsopdateringer i overensstemmelse med trusler i konstant udvikling vil holde virksomhedens forsvar egnet til formålet over tid. IAB-angreb er uundgåelige. Men vellykkede brud behøver ikke at være det.