初始访问代理(IAB)是安全领域的投机取巧的锁匠,而且成了一种全职工作。这些组织专门获取目标的初始访问权限,以便为出价最高的恶意行为者打开大门或窗户。该领域的运营者数量迅速增加——被称为地下网络的“锁匠”——这也使得网络犯罪分子购买目标网络访问权限的成本大大降低。

Novelli、orangecake、Pirat-Networks、SubComandanteVPN和zirochka等名称对绝大多数企业安全团队来说可能没有任何意义。但对于勒索软件运营者和其他寻求快速获得访问企业网络访问权限的网络犯罪分子来说,这些是2022年大部分时间要接触的IAB经纪人。

这五个实体约占2021年下半年至2022年上半年可在地下论坛上出售的所有企业网络访问交易报价的25%。平均价格约为2,800美元,这些被称为初始访问代理 (IAB) 的公司出售被盗的VPN和远程桌面协议 (RDP) 帐户详细信息以及其他凭证,犯罪分子可以利用这些凭证毫不费力地侵入全球2,300多个组织的网络。

不断发展的广阔市场

这五家运营商是安全公司Group-IB在为本周发布的第11份高科技犯罪年度报告进行研究时发现的数百个其他类似IAB的更大且快速增长的市场中的领导者。

该公司的研究表明,在地下论坛和市场中运营的IAB数量同比急剧增长——从前 一个时间周期的262个(12个月增加到2020年下半年-至2021年上半年)增长到380个(第二个研究周期,2021年下半年到2022年上年半)。Group-IB 观察到的327家IAB 在此期间运营,是该领域的新成员。

Group-IB研究人员还发现,受感染实体所属的国家/地区数量增加了41%——从一年前的68个增加到研究期间的96个。在所有初始访问提议中,将近四分之一(24%)涉及美国组织的网络。其他受害者人数相对较多的国家包括巴西、加拿大、法国和英国。涉及中国的IAB业务也不少。

Group-IB首席执行官Dmitry Volkov在新报告随附的一份声明中警告说:“随着无障碍销售的持续增长和多样化,IAB是2023年最值得关注的威胁之一。”

“初始准入经纪人在整个地下经济中扮演着石油生产商的角色,”他指出。“它们助长并促进了其他犯罪分子的行动,例如勒索软件和民族国家的对手。”

安全世界的机会主义

IAB在网络犯罪经济中的价值主张是,它们为其他网络犯罪分子提供了一种在目标网络上轻松立足的方法,而无需他们预先做任何跑腿工作。IAB从事侵入网络和窃取凭据(例如与VPN、RDP服务、Active Directory 和远程管理面板相关的凭据)的技术工作,这些凭据提供后续访问权限。通常,他们可以在受感染的网络上放置Web shell以确保将来能够持续访问它,然后出售Web shell。在2022年的一份报告中,谷歌威胁分析小组的研究人员将IAB描述为“安全世界的投机取巧的锁匠”,他们专门突破目标并向出价最高的人提供访问权限。

除了暗网论坛,经纪人还在地下市场工作,即出售任何类型数据的自动化平台。这些市场提供了各种各样的泄露数据:信用卡和借记卡的详细信息,用户帐户的访问权限,计算机的RDP和SSH访问权限,护照详细信息和属于不同国家公民的其他个人信息,服务器和网站管理员面板的访问权限等等。出售此类信息的最受欢迎的地下市场有MagBo、Russian Market、Genesis、Orvx、Odin等。关于IAB的地下市场呈现繁荣景象。

推动勒索软件经济发展

IAB向任何愿意购买它们的人提供他们的产品,并且在过去两年左右的时间里,他们的服务市场增长迅速。但他们最近最大的客户是勒索软件运营者。

威胁情报公司KELA的一项新研究表明,涉及Hive、Sodinokibi、BlackByte和 Quantum等组织的几次主要勒索软件攻击都是从IAB的网络访问开始的。在一个例子中,Conti勒索软件组织的成员加入了一个IAB代理,以针对乌克兰的组织。

“最值得注意的事件与对澳大利亚保险提供商Medibank的攻击有关,该公司在通过私人Telegram频道出售对该公司的网络访问权后遭到攻击,”KELA说。

Group-IB的研究人员发现IAB提供的访问类型中有70%是RDP和VPN帐户详细信息。许多提议(47%)涉及以管理员权限访问受感染网络。指定权限的宣传广告中有28% 涉及域管理权限,23%具有标准使用权限,一小部分提供根帐户访问权限。 可以看到,VPN、RDP、CITRIX的访问权限售卖占据前三甲。

Group-IB研究人员还发现了用于访问Citrix环境的IAB广告、用于CMS和云服务器的多个Web面板以及受感染系统上的Web shell。在某些情况下,IAB甚至愿意代表买方启动横向移动有效载荷,例如Cobalt Strike Beacon或Metasploit会话。但是提供这些凭据和服务的提议往往不如涉及RDP和VPN凭据的提议普遍。

在地下论坛和市场中最常获得访问权限的组织包括制造公司、金融服务公司、房地产组织、教育和信息技术公司。

Group-IB发现,在其研究期间,在IAB领域运营的实体数量急剧增加,导致大多数初始访问类别的价格下降。

事实上,该公司观察到目前的报价或平均价格在2800美元,而在一年前对相同访问平均收取的价格是6,500 美元,这表明IAB的价格在不断下降。

参考资源

1、https://www.darkreading.com/threat-intelligence/initial-access-broker-market-booms-poses-growing-threat-to-enterprise-orgs-

2、https://go.group-ib.com/hubfs/report/protected/group-ib-hi-tech-crime-trends-2022-2023-en.pdf?utm_campaign=COM-Report-2022-

声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。