去年,盗窃并售卖RDP凭证行为十分猖獗,网络罪犯中间商赚得盆满钵满的同时,公司企业面临着来自勒索软件和其他攻击的巨大风险。
信息安全公司Digital Shadows称,此类新兴网络犯罪行为只突破企业网络防线却不做其他任何操作,而是将非法访问入口以约7000美元起的价格卖给其他人。
买卖被盗登录凭证和其他形式的网络远程访问入口一直是暗网生态系统的一个组成部分,但据Digital Shadows的网络安全研究人员分析,去年间“初始访问代理人”的商品清单明显变长了。
Digital Shadows追踪了约500个交易被黑网络非法访问入口的市场。需澄清的是,此类交易早已有之,现在不过是明显呈上升趋势而已。这些代理人黑进网络后并不靠进一步的网络行动赚钱,而是作为中间商将网络入口卖给其他罪犯,从非法访问交易中牟利。
远程桌面协议(RDP)访问是网络罪犯的最爱,因为利用RDP合法登录凭证远程控制计算机不容易引起目标对恶意行为的怀疑,从而使得攻击者能够悄悄远程访问整个企业网络。
对被盗凭证的需求,以及被盗凭证可能提供的访问入口,全都反映在此类商品的价格上了。价格越高,买家能够染指的机器数量越多,也就加以利用的机会也就越多。
勒索软件攻击团伙尤为喜爱这种访问接入方式,只要发出成千上万美元的赎金勒索需求,就能赚回数倍于购买访问入口所支出的金钱:在初始访问上花个1万美元真不是什么大事,只要能从目标身上榨出1个比特币就赚好几倍了。
Digital Shadows将被盗凭证售卖规模描述为“显著增长”,有效访问方式的平均价格已经涨到了7100美元,占Digital Shadows所录凭证售卖清单的17%。远程桌面协议(RDP)访问的价格则涨至高达9800美元,呼应ESET研究发现的2020年RDP访问尝试数量增长700%的事实。
在一份简要声明中,Digital Shadows首席信息安全官Rick Holland称:“远程工作需求的大幅上升,再加上勒索软件的商业成功,为初始访问代理人缔造了一场完美的机会风暴。”
“需求兴盛和自身专业化的精深,让这些初始访问代理人日进斗金。他们专注于网络犯罪生态系统中获得企业网络访问入口的方面,并在这个方面做专做精。”
Digital Shadows威胁研究员Stefano De Blasi向媒体透露:“昂贵的访问入口反映出目标的品质。例如,具有管理员权限的RDP访问入口,以及敏感数据访问入口。”
售卖RDP访问入口不是什么新鲜事物,但去年的远程办公潮下,公司企业突然大量启用RDP访问,给网络罪犯平添了诸多攻击渠道。
很多情况下,网络罪犯利用公开可用的工具找出不安全RDP连接相对简单,充当初始访问代理人的门槛并不高。而且,RDP使用弱密码或默认密码的情况仍然很常见。此外,卖方获取此类访问凭证再转手获利相当容易。
对售卖RDP凭证的热门论坛进行分析后发现,教育、医疗保健、技术、工业和电信是最受欢迎的目标行业。涉及这些行业的公司企业可能是勒索软件攻击者眼中潜在的肥羊。
网络罪犯将继续利用RDP入侵网络,必要情况下,公司企业应设置各种策略确保远程访问安全,这些策略可能简单到仅仅是应用多因子身份验证和避免使用容易被猜解的密码而已。
Blasi称:“实际上,一次性复杂密码和IT监控管惯例等保护信息的基本措施能够有效挫败大多数表浅攻击。”
除了RDP,非法访问Windows域管理员账户的平均价格是8167美元,占Digital Shadows所录犯罪论坛广告的16%。同样值得注意的是,尽管价格没那么高,被盗企业VPN凭证也达到了2871美元的平均单价。
Citrix远程办公产品用户也应提高警惕了。Digital Shadows在其完整报告中警告称:“勒索软件团伙Sodinokibi(又名REvil)、Ragnarok、Maze、DoppelPaymer和Nefilim在2020年均利用过Citrix系统漏洞。”
VPN访问一直是网络罪犯尝试盗取有价值信息或分发勒索软件的热门战术,去年年初就出现了一系列针对防护不当的Pulse Secure产品的VPN攻击。
Digital Shadows简要声明:
https://www.digitalshadows.com/press-releases/organizations-at-growing-risk-from-initial-access-brokers-a-fast-growing-class-of-cybercriminal-who-breach-firms-and-then-charge-others-to-do-the-dirty-work/
完整报告:
https://resources.digitalshadows.com/whitepapers-and-reports/initial-access-brokers-report
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。