Novelli, orangecake, Pirat-Networks, SubComandanteVPN ve zirochka gibi adların, kurumsal güvenlik ekiplerinin büyük çoğunluğu için bir anlam ifade etmesi pek olası değildir. Ancak kurumsal ağlara hızlı erişim arayan fidye yazılımı operatörleri ve diğer siber suçlular için bunlar şunlardı: the komisyoncular geçen yılın büyük bir kısmı için yaklaşacak.
Aralarında, beş kuruluş, 2021’in ikinci yarısı ile 2022’nin ilk yarısı arasında yeraltı forumlarında satışa sunulan tüm kurumsal ağlara erişim tekliflerinin yaklaşık %25’ini oluşturuyordu. ilk erişim simsarları (IAB’ler) olarak adlandırılan, çalınan VPN ve uzak masaüstü protokolü (RDP) hesap ayrıntılarını ve suçluların dünya çapında 2.300’den fazla kuruluşun ağlarına ter dökmeden girmek için kullanabileceği diğer kimlik bilgilerini sattı.
Geniş ve Büyüyen Bir Pazar Yeri
Beş operatör, güvenlik firması Group-IB’nin bu hafta yayınlanan yüksek teknolojili suçlarla ilgili 11. yıllık raporu için araştırma yaparken keşfettiği yüzlerce benzer IAB’den oluşan çok daha büyük ve hızla büyüyen bir pazarın liderleriydi.
Şirketin araştırması, yeraltı forumlarında ve pazarlarda faaliyet gösteren IAB’lerin sayısında yıldan yıla keskin bir artış olduğunu gösterdi – hemen önceki 12 aylık dönemde 262’den 2021’in ikinci yarısı ile ilk yarısı arasındaki dönemde 380’e 2022. Grup-IB’nin o dönemde çalıştığını gözlemlediği IAB’lerin yaklaşık 327’si uzaya yeni girişlerdi.
Group-IB araştırmacıları ayrıca, güvenliği ihlal edilmiş kuruluşların ait olduğu ülke sayısında %41’lik bir artış ortaya çıkardı – bir yıl önceki 68’den, çalışma süresince 96’ya. Tüm ilk erişim tekliflerinin yaklaşık dörtte biri — %24’ü — ABD merkezli kuruluşların ağlarını içeriyordu. Nispeten yüksek sayıda kurbana sahip diğer ülkeler arasında Brezilya, Kanada, Fransa ve Birleşik Krallık bulunmaktadır.
CEO’su Dmitry Volkov, “Erişim satışları artmaya ve çeşitlenmeye devam ettikçe, IAB’ler 2023’te izlenmesi gereken en büyük tehditlerden biri” dedi. Group-IB, yeni raporla birlikte yaptığı açıklamada.
“İlk erişim komisyoncuları, tüm kayıt dışı ekonomi için petrol üreticilerinin rolünü oynuyor” dedi. “Fidye yazılımı ve ulus-devlet hasımları gibi diğer suçluların operasyonlarını besliyor ve kolaylaştırıyorlar.”
“Güvenlik Dünyasının Fırsatçı Çilingirleri”
IAB’lerin siber suç ekonomisindeki değer önermesi, diğer siber suçlulara, önceden herhangi bir ayak işi yapmak zorunda kalmadan hedef ağ üzerinde kolay bir yer edinmeleri için bir yol vermeleridir. IAB’ler, bir ağa girme ve VPN’ler, RDP hizmetleri, Active Directory ve uzaktan yönetim panelleri ile ilişkili olanlar gibi sonradan erişim sağlayan kimlik bilgilerini çalma teknik işini yapar. Genellikle, güvenliği ihlal edilmiş bir ağa gelecekte kalıcı erişim sağlamak için Web kabuklarını bırakabilir ve ardından Web kabuklarını satabilirler. Geçen yılki bir raporda, Google’ın Tehdit Analizi Grubundan araştırmacılar, IAB’leri bir hedefi aşma ve en yüksek teklifi verene erişim sağlama konusunda uzmanlaşmış “güvenlik dünyasının fırsatçı çilingirleri” olarak tanımladılar.
Fidye Yazılımı Ekonomisini Güçlendirmek
IAB’ler mallarını satın almak isteyen herkese sunar ve hizmetlerine yönelik pazar son iki yılda hızla büyüdü. Ancak son zamanlarda en büyük müşterileri fidye yazılımı operatörleri oldu.
Tehdit istihbaratı firması KELA tarafından yapılan yeni bir araştırma, Hive, Sodinokibi, BlackByte ve Quantum gibi grupları içeren birkaç büyük fidye yazılımı saldırısının bir IAB’den ağ erişimiyle başladığını gösterdi. Bir örnekte, Conti fidye yazılımı grubunun üyeleri, Ukrayna’daki kuruluşları hedef almak için bir IAB’ye katıldı.
KELA, “En dikkate değer olay, şirkete ağ erişiminin özel bir Telegram kanalında satılmasının ardından saldırıya uğrayan Avustralyalı bir sigorta sağlayıcısı olan Medibank’a yapılan saldırıyla ilgiliydi.”
Group-IB araştırmacıları, IAB’lerin sunduğu erişim türlerinin %70’inin RDP ve VPN hesap ayrıntıları olduğunu buldu. Tekliflerin çoğu – %47’si – güvenliği ihlal edilmiş ağda yönetici haklarıyla erişim içeriyordu. Hakların belirtildiği reklamların yüzde yirmi sekizi alan adı yönetim hakları, %23’ü standart kullanım hakları ve küçük bir kısmı kök hesap erişimi sağlıyordu.
Group-IB araştırmacıları ayrıca Citrix ortamlarına erişim için IAB reklamları, CMS ve bulut sunucuları için çoklu Web panelleri ve güvenliği ihlal edilmiş sistemlerde Web kabukları buldular. Bazı durumlarda, IAB’ler, alıcı adına Cobalt Strike Beacon veya Metasploit oturumları gibi yanal hareketli yükler başlatmayı bile teklif etti. Ancak bu kimlik bilgileri ve hizmetler için teklifler, RDP ve VPN kimlik bilgilerini içeren tekliflerden daha az yaygın olma eğilimindeydi.
Erişim tekliflerinin en yaygın olarak yer altı forumlarında ve pazar yerlerinde mevcut olduğu kuruluşlar arasında imalat şirketleri, finansal hizmetler firmaları, emlak organizasyonları, eğitim ve bilgi teknolojisi firmaları yer aldı.
Group-IB, çalışma süresi boyunca IAB alanında faaliyet gösteren kuruluşların sayısındaki keskin artışın, çoğu ilk erişim kategorisi için fiyatları aşağı çektiğini tespit etti.
Şirketin gözlemlediği ortalama 2.800 $’lık fiyat, aslında IAB’lerin bir yıl önce aynı erişim için ortalama olarak talep ettiği 6.500 $’ın yarısından daha azdı.