Aanvanklike toegangsmakelaars: die onmisbare skakel in die kubermisdaadvoorsieningsketting

Hierdie jaar is op koers om 'n rekordbreker vir lospryswaregroepe te wees. Blockchain-analise onthul dat "invloeie" na cryptocurrency-adresse wat met misdadigers geassosieer word, $460 miljoen in die eerste helfte van 2024 bereik het, vanaf $449m in dieselfde tydperk verlede jaar. En die gemiddelde losprysbetaling vir sommige van die mees produktiewe lospryswaregroepe het van net minder as $200,000 2023 vroeg in 1.5 tot $2024 miljoen in die middel van Junie XNUMX gestyg.

Nou is daar baie redes waarom lospryswaregroepe, en die kubermisdaad ondergronds in die algemeen, aanhou floreer. Maar 'n groot deel van hul sukses lê by die aanvanklike toegangsmakelaar (IAB): 'n kritieke speler in die kubermisdaadverskaffingsketting. Om 'n manier te vind om hul taktiek, tegnieke en prosedures (TTP's) te versag, sal noodsaaklik wees as organisasies hul blootstelling aan finansiële en reputasierisiko wil verminder.

Oë op die prys

Op 'n baie eenvoudige vlak is IAB's so belangrik omdat hulle op een ding fokus en dit buitengewoon goed doen. Deur slegs op die eerste fase van 'n aanval te konsentreer, isoleer hulle hulself teen wetstoepassing - iets wat hulle ook bereik deur privaat met losprysware-as-'n-diens (RaaS) affiliasies te werk. Aan die ander kant, deur die tydrowende werk om teikens te kies en toegang tot slagofferorganisasies uit te kontrakteer aan die IAB uit te kontrakteer, kan ander kubermisdadigers meer van hul tyd daarop fokus om hul pogings te skaal.

As hulle nie privaat met RaaS-groepe werk nie, lys IAB's hul dienste op inbraakforums, wat navorsers in staat stel om 'n beter ingeligte prentjie van die mark te kry. Volgens 'n nuwe Cyberint-verslag, sommige bied gebundelde aanbiedings aan, terwyl ander toegang individueel verkoop, en hoogs vertroude individue kan vereis dat kopers hulle direk kontak sonder om enige inligting hoegenaamd te verskaf.

Die verslag beklemtoon drie hooftipes IAB. Diegene wat toegang verkoop tot:

• Stelsels wat gekompromitteer is deur agterdeure en ander wanware wat op netwerkrekenaars geïnstalleer is
• Bedieners is gekompromitteer deur brute-forcing Remote Desktop Protocol (RDP)
• Gekompromitteerde netwerktoestelle, soos VPN-bedieners en firewalls, wat 'n stapsteen in die korporatiewe netwerk bied

Volgens Cyberint was RDP-toegang die algemeenste in 2023, wat meer as 60% van IAB-inskrywings uitmaak. Tot dusver vanjaar is HOP-toegang (41%) egter uitgedaag deur VPN-kompromie (45%).

Ander toegangstipes sluit in:

• E-pos: Dikwels via gekompromitteerde geloofsbriewe, wat aanvallers toelaat om e-posse te lees, stuur en manipuleer
• databasis: Via gesteelde geloofsbriewe of kwesbaarheidsuitbuiting
• Webdop: Dit is skrifte wat bedreigingakteurs toelaat om op 'n afstand opdragte op 'n geteikende bediener te administreer/uit te voer
• Shell/opdraglyn toegang: Die verskaffing van 'n opdraglyn-koppelvlak aan 'n gekompromitteerde stelsel, wat direkte uitvoering van opdragte moontlik maak
• Lêeraandele: Toegang tot gedeelde aandrywers en lêerbedieners, dikwels deur gekompromitteerde geloofsbriewe of laterale beweging

IAB's kan ook hul verkope volgens voorregtetipe lys - domeinadministrateur, plaaslike administrateur of domeingebruiker - met die hoër bevoorregte toegang wat meer kos. Alhoewel toegang tot sommige waardevolle omgewings kan lei tot aanbiedings teen meer as $10,000 500, val die meeste IAB-plasings tussen $2000-$60. Dit is 'n aanduiding van die gekommodiseerde aard van die mark. Trouens, hoewel IAB's toenemend fokus op hoë-inkomste korporatiewe slagoffers, het die gemiddelde prys vir noterings jaarliks ​​1,295% gedaal tot $XNUMX XNUMX, volgens Cyberint.

Sal IAB's agter jou organisasie aan kom?

Meer as 'n kwart (27%) van lyste wat in 2024 deur Cyberint ontleed is, was vir toegang by organisasies van meer as $1 miljard se inkomste. Trouens, die gemiddelde inkomste van slagoffers tot dusver vanjaar is $1.9 miljard. Maar dit beteken nie kleiner organisasies is uit die haak nie, volgens Cyberint-sekuriteitsnavorser, Adi Bleih.

“In die eerste helfte van 2024 onthul ons data dat organisasies met ’n inkomste van minder as $10 miljoen 18.5% van alle toegangsinskrywings op groot ondergrondse forums uitgemaak het. Dit beteken dat byna een uit elke vyf geteikende organisasies SMB's is, wat 'n beduidende risiko vir hierdie sektor uitlig,” sê hy aan ISMS.online.

“As ons meer in die breë kyk na mediumgrootte ondernemings met inkomste tussen $10 miljoen en $100 miljoen, val 29.5% van alle geteikende organisasies binne hierdie reeks. Dit beteken besighede wat minder as $100 miljoen verdien, maak 48% uit van alle aanvanklike toegangsmakelaarteikens.”

Elders sal Amerikaanse organisasies heel waarskynlik in die visier wees, wat verantwoordelik is vir byna die helfte (48%) van IAB-noterings wat bestudeer is. Dit word gevolg deur Frankryk, Brasilië, Indië en Italië. Aangesien die VK egter 'n top-twee losprysware-teiken is, is daar genoeg om Britse CISO's snags wakker te hou. Volgens die verslag is die mees geteikende sektore sakedienste, finansies, kleinhandel, tegnologie en vervaardiging. Laasgenoemde het van 14% van noterings in 2023 tot 23% tot dusver vanjaar toegeneem.

Blokkeer aanvanklike toegang en verder

Alhoewel geen organisasie werklik veilig is teen IAB-aanvalle nie, is die goeie nuus dat die bedreiging-akteurs self geneig is om by beproefde inbraaktegnieke te hou. Dit beteken dat beste praktyksekuriteit netwerkverdedigers sal help om 'n lang pad te kry om óf aanvanklike toegang óf wat volgende kom te neutraliseer. Cyberint beveel eenvoudige stappe aan soos multi-faktor-verifikasie (MFA), minste-voorreg-toegangsbeleide, gereelde regstelling, opleiding in sekuriteitsbewustheid, beperkte RDP-gebruik, inbraakdetectie (IDS), netwerksegmentering en donkerwebmonitering.

Gelukkig is beste praktykstandaarde en -raamwerke 'n goeie manier om sulke praktyke te formaliseer.

As 'n voorbeeld, ISO 27001 spreek die volgende aan:

• Toegangsbeheer: (Bylae A.9). Help om die kans te verminder dat IAB's hul netwerke infiltreer.

• Insidentbestuur en -reaksie: (Bylae A.16) Vinnige opsporing en reaksie op aanvanklike toegang kan help om oortredings te bevat voordat dit gemonetiseer kan word.
• Sekuriteitsbewustheid en opleiding: (Bylae A.7.2.2) Dit verminder die waarskynlikheid dat IAB's toegang verkry deur menslike foute, soos uitvissing of swak wagwoorde.
• Netwerksekuriteitskontroles: (Bylae A.13) Die verdeling van die netwerk in kleiner, geïsoleerde segmente beperk bedreigingsakteurs se vermoë om sywaarts te beweeg een keer binne die netwerk.
• Monitering en aantekening: Deurlopende monitering en aanteken van netwerkaktiwiteit bespeur en waarsku enige ongemagtigde toegangspogings.
• Firewall en IDS/IPS-konfigurasie: Behoorlike opstelling help om verdagte netwerkaktiwiteite meer effektief op te spoor en te blokkeer.
• Patch Management en Vulnerability Management: (Bylae A.12.6.1) Verminder die aantal ontginbare kwesbaarhede wat IAB's mag gebruik om aanvanklike toegang te verkry.
• Voorsieningskettingsekuriteit: (Bylae A.15) Help om te verhoed dat IAB's ongemagtigde toegang deur onseker derde partye verkry.
• Kriptografie en Databeskerming: (Bylae A.10) Data-enkripsie sal die waarde beperk van wat verkry word na 'n IAB-oortreding.
• Fisiese en Omgewingssekuriteit: (Bylae A.11) Verminder die risiko dat IAB's aanvanklike toegang op fisiese wyse verkry, soos 'n gekompromitteerde werknemer.

ISO 27001 is gebaseer op 'n Plan-Do-Check-Act (PDCA)-siklus, wat die voortdurende verbetering van die inligtingsekuriteitbestuurstelsel (ISMS) beklemtoon. Gereelde interne oudits, bestuursoorsigte en sekuriteitsopdaterings in ooreenstemming met voortdurend ontwikkelende bedreigings sal korporatiewe verdediging mettertyd geskik hou vir doel. IAB-aanvalle is onvermydelik. Maar suksesvolle oortredings hoef nie te wees nie.