Bilgisayar korsanları, büyük bir müzayede evinin ağına sızdıklarını ve 120.000$ ödemek isteyenlere erişim teklif ettiklerini iddia ediyorlar.
Güvenlik araştırmacıları, 72 gönderiden oluşan bir örneği analiz ettikten sonra reklamı, ilk erişim aracıları (IAB’ler) için bir pazar sağlamasıyla bilinen bir bilgisayar korsanı forumunda buldu.
Pahalı ağ erişimi
Tehdit istihbaratı şirketi Flare’deki araştırmacılar, kimi hedeflediklerini, satış fiyatlarını ve kimlerin en aktif olduğunu daha iyi anlamak için Rusça hacker forumu Exploit’te üç aylık IAB tekliflerini inceledi.
1 Mayıs’tan 27 Temmuz’a kadar komisyoncular, savunma, telekomünikasyon, sağlık ve finansal hizmetler dahil olmak üzere 18 sektörde 100’den fazla şirkete erişim reklamı yaptı.
Flare’de pazarlamadan sorumlu başkan yardımcısı Eric Clay, BleepingComputer ile paylaştığı bir raporda, ABD, Avustralya ve Birleşik Krallık şirketlerine yönelik saldırıların en yaygın olanları olduğunu söylüyor – yüksek gayri safi yurtiçi hasılaları (GDP) göz önüne alındığında şaşırtıcı değil.
Clay raporda, en çok finans ve perakende sektörlerindeki kuruluşların hedef alındığını, ardından inşaat ve imalat sektörlerinin geldiğini belirtiyor.
Şirket profiline ve ülkeye bağlı olarak fiyatlar 150 dolardan başlıyor ve çoğu VPN veya RDP üzerinden ilk erişim içindi. Listelemelerin yaklaşık üçte biri 1.000 doların altındaydı.
Bununla birlikte, satılan en pahalı ürün, milyarlarca dolarlık bir müzayede evinin ağına erişim için 120.000 dolardı (o sırada BTC 4).
Bilgisayar korsanları çok fazla ayrıntı vermediler ancak Stradivarius kemanları veya koleksiyon arabaları gibi çok sayıda üst düzey müzayedeye (yani yönetici paneli) ayrıcalıklı arka uç erişimine sahip olduklarını söylediler.
“Çoğu erişim düşük ila orta değerde olsa da, bazen son derece benzersiz veya yüksek değerli erişim açık artırmaya çıkarılıyor ve bu da bizim ortalamamızla karşılaştırıldığında aşırı fiyat farklılıklarına neden olabiliyor” – Flare
Diğer birçok pahalı teklif, ABD ve Birleşik Krallık’taki şirketlere ilk erişim içindi; ilk erişim teklifleri, sağlık, finansal hizmet ve üretim gibi kritik altyapı kuruluşları içindi.
Erişim ayrıcalığı ve coğrafya
Gönderilerin çoğu kurbanın coğrafyasından bahsediyordu ve araştırmacılar, ABD dışında saldırıya uğradığı iddia edilen 35 varlığı gösteren bir harita oluşturabildiler.
Kaynak: Flare.io
Exploit forumundaki IAB’ler, Rusya ve Bağımsız Devletler Topluluğu’ndaki (BDT) ülkelerdeki hedeflerden hâlâ kaçınıyor, ancak dünyadaki ikinci en yüksek GSYİH’ya sahip olan Çin’deki küçük sayı şaşırtıcı.
Clay, BleepingComputer’a, IAB’ler genellikle Çin’i hedeflemekten kaçınırken, bir Çinli yapay zeka şirketine ağ erişimi için bir liste olduğunu söyledi.
Gönderilerde görülen en sık erişim türü, birlikte veri setindeki listelemelerin %60’ını oluşturan RDP (32 gönderide görüldü) veya VPN (11 gönderide görüldü) aracılığıyla gerçekleşti.
Erişim hesaplarıyla ilişkili ayrıcalık düzeyi, bulut yöneticisinden (14 vaka) yerel yöneticiye (5 vaka) ve etki alanı kullanıcısına (2 vaka) kadar değişiyordu.
Bir yan not olarak Clay, BleepingComputer’a bir komisyoncunun “bir ABD radyo istasyonuna ayrıcalıklı erişim” sunduğunu ve bilgisayar korsanlarının “reklam yayınlamak” için kullanılabileceğini söylediğini söyledi.
Bazı IAB’ler, fidye yazılımı operasyonlarına hizmet edebilecek kurumsal BT ağına erişimin yanı sıra yedekleme ve kurtarma sistemlerine erişimin reklamını yaptı.
Tipik olarak, kurumsal ağlara erişim bilgi çalan kötü amaçlı yazılımlardan gelir, ancak bazı aktörler farklı bir yöntem kullandıklarını, muhtemelen başka türde bir kötü amaçlı yazılım, kimlik avı veya bir güvenlik açığından yararlandıklarını açıkça belirttiler.
“Stealer günlükleri, ilk erişim simsarları için gözden kaçan birincil erişim vektörüdür, şaşırtıcı derecede basit bir bulaşma türüdür ve IAB’lerin ve fidye yazılımı gruplarının kurumsal BT ortamlarına erişmesinin ana yollarından biri olduğu neredeyse kesindir” – Mathieu Lavoie. Flare’de Baş Teknoloji Sorumlusu
İlk erişim simsarlarının bir ağa erişim sağlamak için kullandıkları yöntem ne olursa olsun, şirketler en azından kurumsal kimlik bilgilerinin düzenli bir kaynağı olan bilgi çalan kötü amaçlı yazılımlara karşı izleme mekanizmaları uygulamalıdır.
İlk erişim aracılarının tekliflerinin reklamını yaptığı izleme forumları, kurbanın adı anonimleştirilmiş olsa bile kuruluşların olası uzlaşma hakkında bir ipucu elde etmesine yardımcı olabilir.
Coğrafya, gelir, sektör ve erişim türü gibi verileri birleştirmek, olası bir ihlale yönelik soruşturma başlatmak için yeterli ipuçlarıdır.
Bu süreç, daha güçlü güvenlik gerektiren alanların ortaya çıkarılması veya risk oluşturabilecek cihazların, hizmetlerin ve hesapların belirlenmesi gibi olumlu yan etkiler de getirebilir.