Siber suç, Siber Servis AS, Dolandırıcılık Yönetimi ve Siber Suç
2.700 $, bir kurbana ilk erişim için ortalama fiyat ve ayrıcalıklar
Mathew J. Schwartz (Euroinfosec) •
12 Ağustos 2025
Hackerlar, ihlal edilen ağlara garantili erişim satmaya istekli olduğunda neden hack? Giderek daha fazla siber crook, gerçek ağ penetrasyonu tedium ile uğraşarak, gelişen bir başlangıç erişim pazarına yol açarak dış kaynak kullanmayı tercih ediyorlar.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Bir kurbanın ağına uzaktan erişim artık ortalama 2.700 $ fiyatla satılıyor, ancak satılanların yaklaşık% 40’ı çok daha azına gidiyor – sadece 500 $ ila 1.000 $ ‘a, Siber güvenlik firması Rapid7’nin bir raporu. Araştırma, geçen yılın 1 Temmuz’dan 31 Aralık’a kadar olan altı aylık bir süre boyunca yayınlanan listelere dayanmaktadır. Darkweb siber suç forumları ve her ikisi de Rus dil alanları olan XSS’ye ve İngilizce dil pazarları Breachforums’un en son yinelemesine dayanmaktadır.
2024-2023 ile karşılaştırıldığında, siber güvenlik firması Grup-IB, satılan ihlal ağlarına erişim hacminde% 15’lik bir artış gördüğünü bildirdi. Kuzey Amerika organizasyonlarına bağlı çalınan kimlik bilgileri bu zaman diliminde% 43 ve Latin Amerika için% 41 ve Avrupa için% 32 arttı.
İlk erişim işini yapmak için başka birine ödeme yapan ve satın alımlarını bir kurbanın ağında çalma veya fidye yazılımı ile serbest bırakan dolandırıcılar, bir kurban fidye ödüyorsa, ilk erişim yatırımlarının birçok katını kazanmak için durur.
Alıcıları ikna etmek için, birçok başlangıç erişim brokeri, mevcut erişim türünün yanı sıra ihlal edilen kuruluşun yıllık gelirini de tanıtmaktadır. İhlal şirketlerinin geliri ortalama 2,2 milyar dolardı, Rapid7.
Tüm listelerde, VPN Access kimlik bilgileri%24 işgal etti, bunu%17’de uzak masaüstü protokol erişimi,%6’da alan adını ve yerel yönetici%5’de kimlik bilgilerini aldı.
Satılık paket anlaşmaları
Rapid7, sunulanların alt basamağının, incelediği tüm gönderilerin% 29’unu oluşturan herhangi bir ek ayrıcalık olmadan, yalnızca bağımsız VPN veya RDP erişimi içerdiğini söyledi. Araştırmacılar, derin bir erişim sağlamadığı için, bir başlangıç erişim brokeri tarafından vurulan bir kuruluş için “en iyi vaka senaryosu” olduğunu söyledi.
Brokerler, zamanın% 63’ünde bir tür ayrıcalıkla eşleştirilmiş bir başlangıç erişim vektörünün ilan ettiler. “Bunun bir örneği, bir RDP’nin etki alanı kullanıcı kimlik bilgileri veya belki de VPN ve bir yönetici hesabının bir kombinasyonu olacak, yani bir kurbanın ağını daha kapsamlı bir şekilde yeniden yazmışlardı.
İlk erişim vektörlerini ve ayrıcalık türlerini karıştıran “Paket Fırsatlar” ı içeren yayınların geri kalan% 9’u. Rapid7, “Bu demetlerin ana yönü, komisyoncunun bir işletmenin üç veya daha fazla tehlikeye atılmış yönünü satmasıdır.” Dedi. “Belki RDP satıyorlar” – Microsoft uzak masaüstü web erişimi – “ve etki alanı kullanıcısı veya belki de Fortinet” – bir kenar cihazında bilinen bir güvenlik açığı – “Domain kullanıcısı ve yerel yönetici ile”. Bu daha kötü bir senaryo olarak sayılır.
Birçok durumda, ilk erişim brokerleri, bir kuruluşun ağına tek bir yol bulmaya niyetlenmiyor ve daha sonra hızla çıkıyorlar – sızdıkları ağları keşfetme girişimleri yapıyorlar ve genellikle başarılı oluyorlar, “dedi Rapid7 baş bilim adamı.
“Bir tehdit oyuncusu, bir brokerden satın alınan erişim ve ayrıcalıklı kimlik bilgilerini kullanarak kaydedildiğinde, onlar için çok sayıda ağır kaldırma yapıldı. Bu nedenle, maruz kalmanızla ilgili değil, ancak saldırıdan önce yanıt verip veremeyeceğinizle ilgili değil.”
Birden fazla saldırgan, komisyoncu birden fazla müşteriye sattığı için veya bir müşterinin bir amaç için erişimi kullandığı için – diyelim ki, veri çalmak için – daha sonra, daha fazla ransbing verileri ve fidye yazılımlarını serbest bırakarak satın alımlarından para kazanan bir başkasına sattığı için.
Raporda, “Bilmeden ağ erişimini ilk erişim broker forumlarında satışa sunan kuruluşlar zaten bir kez mağdur edildi ve alıcı saldırdığında bir kez daha mağdur olma yolunda.”
Araştırma, satın alınan ve satılan ve alıcıların ne kadar ödeyebileceği için bir lezzet verirken, ilk erişimin tümü kamuya açık bir şekilde satılmaz. Hizmet olarak fidye yazılımı, yalnızca operasyonla çalışacak veya en azından fidye ödemelerinin kesilmesi karşılığında, en azından tüm yeni erişimlerde ilk reddetme hakkı verecek olan başlangıç erişim brokerlerinin düzenli olarak reklamını yaparlar. Diğer brokerler bir erişim örneğini tanıtabilir, ancak işlerinin çoğunu uçtan uca şifreli mesajlaşma hizmetlerini kullanarak gerçekleştirir.
Savunma tavsiyesi
Satış için sunulan şey, kurbanların bu tür saldırıları başarılı olmadan tutuklama fırsatlarını vurgular.
Siber güvenlik firması Kela’dan yakın tarihli bir rapor, “Erişim brokerleri genellikle kalıcılığı korumak veya alıcılar için daha kolay erişim sağlamak için bazen yüksek ayrıcalıklarla yeni yerel veya etki alanı hesapları oluşturuyor” diyor. Bu tür bir etkinliği tespit etmek için, “Beklenmedik yeni kullanıcı hesapları büyük bir kırmızı bayraktır.”
Kela, daha önce hiç görülmemiş IP adreslerini izleyen meşru hesaplara “olağandışı giriş etkinliği” de “olağandışı giriş etkinliği”, dedi Kela. “Olağandışı eylemler yapan veya normalde yapmadıkları kaynaklara erişen meşru hesapları izleyin – bunlar hesap devralma belirtileri olabilir.”
Birçok kuruluş, çok faktörlü kimlik doğrulaması kullanılarak da dahil olmak üzere diğer tanınmış saldırı vektörlerini kilitlediyse, başlangıç erişim brokerleri tarafından satılan çalıntı kimlik bilgilerini tekrar kullanabilir.
Rapid7’nin başrolü araştırmacısı Chris Boyd, geçerli hesaplara kadar izlenen ilk erişimin, şirketin bu yılın ilk üç ayında yanıt verdiği tüm vakaların yarısından fazlasında MFA tarafından korunmadığını söyledi.
Diğer başlangıç erişim vektörleri, her biri başlangıç erişim yöntemlerinin% 13’ünü oluşturan bir güvenlik açığı veya kaba zorlayıcı zayıf kimlik bilgilerinden yararlanmayı, bunu maruz kalan bir RDP hizmetine erişen bilgisayar korsanları veya her biri olayların% 6’sını oluşturan bilgisayar korsanları içerir. Saldırganlar içeri girmek için RDP kullanmasalar bile, firmanın araştırılan saldırıların% 44’ünde yer alan hizmeti kötüye kullanıyor.
Boyd, bu ilk erişim eğilimlerinin aylar boyunca neredeyse değişmeden kaldığını ve özellikle MFA’nın olmaması nedeniyle – saldırganların taktiklerini değiştirmek için çok az teşviki olduğunu gösterdiğini gösteriyor.
Yetkili, “İşletmeler kolay girişleri açık ve yetenekli ve vasıfsız saldırganlar için kullanılabilir bırakmaya devam ederken popülerlikte hiçbir düşüş görmüyoruz.” Dedi.