Fortune 500 ABD kimya üreticisine saldırıya uğramış alan adı yöneticisi erişimi satın almanın maliyeti nedir? Bir fincan kahveden fazlası ama üst düzey bir dağ bisikletinden daha azı.
Veri ihlalleri ve fidye yazılımı saldırıları bir anda gerçekleşmez. Bunun yerine, her biri karmaşık bir tedarik zincirinin belirli bir bölümünü yerine getiren karmaşık bir siber suçlu ekosistemi tarafından destekleniyorlar. Bu yazı, ilk erişim aracılarının ortaya çıkışını ve bunların siber suç ekosistemindeki daha geniş rolünü inceleyecek.
İlk erişim aracıları (IAB), kurumsal ortamlara ayrıcalıklı BT erişimi sağlamaya odaklanan ve daha sonra bunları özel karanlık web forumlarında açık artırmaya çıkaran siber suçlulardır.
IAB’lerin nasıl çalıştığını daha iyi anlamak istedik, bu yüzden tek doğal olanı yaptık ve kurumsal erişim ekonomisi hakkında derinlemesine bir analiz yapmak için haftalarca gönderileri Rusça’dan İngilizceye titizlikle çevirdik.
İlk Erişim Broker Gönderisinin Anatomisi
Birçok IAB gönderisi son derece benzer bir formatı takip ederek, IAB ekonomisini daha iyi anlamak için ölçebileceğimiz tutarlı bir dizi özellik oluşturur.
Kaynak: Flare
- Erişim türü/Erişim türü: Elde edilen erişim türünü açıklar; en yaygın olarak RDP veya VPN erişimi.
- Aktivite/Aktivite: Mağdur şirketin endüstrisini veya faaliyetini açıklar. Finans, Perakende ve İmalat en yaygın üç hedeftir.
- Haklar/Haklar: Elde edilen ayrıcalıkların düzeyini açıklar.
- Hasılat: Mağdur şirketin genellikle çevrimiçi olarak kamuya açık ABD merkezli veri sağlayıcılarından elde edilen gelirini açıklar.
- Çevrimiçi Ev Sahibi: Genellikle kurbandaki ana bilgisayarların sayısını açıklar ve bazen antivirüs ve güvenlik sistemlerini de içerir.
- Başlangıç: Açık artırmanın başlangıç fiyatı.
- Adım: Teklif artar.
- Yıldırım: Hemen al fiyatı.
Artık bir IAB gönderisinin temel yapısını anladığımıza göre, üç aylık verilerimizi daha ayrıntılı olarak inceleyebiliriz.
Kurumsal BT ortamlarına erişim şaşırtıcı derecede ucuzdur; veri setimizdeki tüm örneklerde kurumsal BT ortamına erişim satın almanın ortalama fiyatı 4.699,31 dolardı. Ancak birkaç önemli sonuç fiyatı çarpıttı, bu nedenle aykırı değerleri çıkardığımızda ortalama fiyat 1.328,23 dolardı.
IAB gönderilerinin büyük çoğunluğu, kurumsal erişim için yıldırım fiyatlarının 1.000 ile 3.000 dolar arasında olduğu dar bir aralıktaydı.
Ancak bazen benzersiz derecede değerli bir ortama erişim sağlayan son derece “yüksek değerli” bir liste yayınlanır. Bu, fiyatların onbinlerce dolara çıkmasına ve bazı listelerin 100.000 dolardan fazla getiri sağlamasına yol açabilir.
Anahtar Çıkarım: Güvenliği ihlal edilmiş kurumsal BT ortamlarına erişim pahalı değildir. Tehdit aktörleri, büyük bir olaya neden olmak için gereken erişim düzeyini birkaç bin dolara satın alabilirler.
İlk Erişim Aracıları ve Coğrafya
Ayrıca, önemli sayıda gönderinin Amerika Birleşik Devletleri’nde bulunan mağdurlara erişim sattığını, ardından Avustralya ve Birleşik Krallık’ın geldiğini ve bunun da İngilizce konuşulan ülkelere saldırmaya yönelik güçlü bir önyargıya işaret ettiğini gördük.
Kaynak: Flare
ABD’nin en çok hedef alınan ülkelerden biri olması şaşırtıcı olmasa da, ABD’deki mağdurların çokluğu dikkat çekiciydi. Analiz ettiğimiz gönderilerin %36’sından fazlası Amerika Birleşik Devletleri’nde yaşayan bir kurbanı listeliyordu.
Anahtar Çıkarım: Forumdaki çoğu ilk erişim komisyoncusu gönderisi Exploit, erişimi ABD, İngiltere ve Avustralya şirketlerine satıyor.
İlk Erişim Aracısı Gönderilerinden Fidye Yazılımları ve İpuçları
Peki tehdit aktörleri IAB’lerden elde edilen erişimi ne amaçla kullanıyor? Paylaşımları bize bir ipucu verebilir. Satılan en yaygın erişim türü, fidye yazılımı saldırıları için önemli bir vektör olan yönetici ayrıcalıklarına sahip Uzak Masaüstü Protokolü’ne (RDP) erişimdi.
İlginç bir şekilde, bazı açık artırmalarda aslında kurban organizasyonun bir yedekleme ve kurtarma çözümüne sahip olmadığı ya da IAB’nin yedekleme sistemine erişimi olduğu belirtiliyordu. Bu muhtemelen satıcının erişimin fidye yazılımı için kullanılmasını beklediğinin önemli bir göstergesidir.
Kaynak: Flare
Yedekleme ve kurtarma sistemlerine erişimin özel olarak listelendiğini bulduğumuz birkaç gönderide, yıldırım fiyatları, olmayanlara göre önemli ölçüde daha yüksekti.
Anahtar Çıkarım: IAB açık artırmaları muhtemelen fidye yazılımı grupları ve bağlı kuruluşlar için kurumsal BT erişiminin önemli bir kaynağıdır.
Güvenlik Ekipleri için Çıkarımlar
İlk erişim aracıları, kurumsal bilgi güvenliği ekipleri için önemli bir tehdittir. IAB’ler, cihazları, ağları ve hizmetleri özel karanlık web pazarlarında ve forumlarında yeniden satmak amacıyla tehlikeye atmaya yönelik doğrudan mali teşvike sahiptir. Flare’de aşağıdakileri öneriyoruz:
- BreachForums, Exploit, XSS ve Russian Market gibi büyük karanlık web siber suç forumları ve pazar yerleri için güçlü izleme yetenekleri oluşturun.
- Kuruluşunuzun güvenliğinin ihlal edilmiş olabileceğine veya üçüncü taraflarınızdan birinin güvenliğinin ihlal edilmiş olabileceğine dair belirtiler için IAB forumlarını izleyin.
- Kurumsal kimlik bilgilerini ve etkin oturum çerezlerini içerebilecek hırsız günlüklerini izleyin. Flare’in araştırması, kurumsal SaaS uygulamalarına erişim içeren yüz binlerce hırsız günlüğünün Telegram, Russian Market ve Genesis Market’te dağıtıldığını buldu.
Siber Suç Ekosistemi’nin Flare ile İzlenmesi
Flare, müşterilerimizle ilgili IAB faaliyetlerini tespit etmek için yasa dışı forumları ve pazar yerlerini izler.
Flare’in kullanımı kolay SaaS platformu, açık ve karanlık web ile yasa dışı Telegram kanallarındaki hırsız günlüklerinin tespitini otomatik hale getirir.
Flare’in güvenlik programınızın siber suç izleme yeteneklerini 30 dakika içinde nasıl artırabileceği hakkında daha fazla bilgi edinmek için ücretsiz denemeye kaydolun.
Sponsorlu ve Flare tarafından yazılmıştır