سوال: چگونه کارگزاران دسترسی اولیه را از فروش دسترسی به شبکههای ما به هر بازیگر باجافزاری که میخواهد، نگه داریم؟
رام البویم، مدیر عامل Sygnia: همانطور که باج افزار همچنان ادامه دارد به عنوان یک تهدید سایبری رشد کند، تخصص جدید در میان گروه های جرایم سایبری به آنها برتری در کارایی داده است. یکی از سریعترین حوزههای تخصصی در حال رشد، شامل اپراتورهایی است که کار دسترسی به شبکههای قربانی را برون سپاری میکنند. کارگزاران دسترسی اولیه (IAB).
در شروع یک حمله باجافزار، مهاجم نیاز به دسترسی اولیه به شبکه سازمان هدف دارد، جایی که IAB ها وارد میشوند. - و سپس این دسترسی را در انجمنهای زیرزمینی به بازیگران دیگر، از جمله شرکتهای وابسته به باجافزار بهعنوان سرویس (RaaS) بفروشید. آن دسته از شرکتهای وابسته که دائماً برای فعال ماندن به دسترسی بیشتری به سازمانها نیاز دارند، به طور فزایندهای برای ارائه این دسترسی به IABها متکی هستند.
همچنین به عنوان دسترسی به عنوان سرویس شناخته می شود، دسترسی آماده ارائه شده توسط IAB ها به بخشی جدایی ناپذیر از اکوسیستم باج افزار تبدیل شده است. IABها اطلاعات اولیه مورد نیاز گروههای باجافزار را برای نفوذ فراهم میکنند تا اپراتورها بتوانند به سرعت مجموعه وسیعتری از قربانیان را هدف قرار دهند، به شبکههای آنها دسترسی داشته باشند و به صورت جانبی حرکت کنند تا زمانی که کنترل کافی برای انجام یک حمله را به دست آورند. این یک مدل کارآمد برای تداوم جرایم سایبری است، مدلی که به رشد باج افزار کمک می کند.
چگونه IAB ها دسترسی پیدا می کنند
IAB ها معمولاً ساده ترین مسیر را برای دسترسی به شبکه، اغلب از طریق شبکه های خصوصی مجازی (VPN) یا فناوری پروتکل دسکتاپ از راه دور (RDP) فراهم می کنند. عوامل تهدید می توانند از برخی از آنها سوء استفاده کنند بسیاری از آسیب پذیری های VPN که محققان در سالهای اخیر کشف کردهاند، یا میتوانند یک شبکه را برای پورتهای RDP باز اسکن کرده و تکنیکهای مختلفی را برای به دست آوردن اطلاعات ورود دنبال کنند.
به طور کلی، حدود دو سوم از انواع دسترسی های عرضه شده برای فروش در دارک وب، حساب های RDP و VPN هستند که امکان اتصال مستقیم به شبکه های قربانیان را فراهم می کنند. "گزارش جنایت با فناوری پیشرفته" Group-IB. دسترسی Citrix، پنلهای مختلف وب (مانند سیستمهای مدیریت محتوا یا راهحلهای ابری)، و پوستههای وب روی سرورهای در معرض خطر کمتر رایج هستند. اعتبار نامه های ایمیل افشا شده یا گزارش های اطلاعات دزدان نیز بسیار محبوب، بسیار در دسترس و ارزان هستند.
اپراتورهای باج افزار از دارک وب برای خرید اعتبار برای نفوذ به شبکه های هدف استفاده می کنند. Group-IB دریافت که پیشنهادات دسترسی اولیه بین سالهای 2021 تا 2022 بیش از دو برابر شده است، در حالی که تعداد IABها تقریباً 50 درصد افزایش یافته است. قیمتهای دسترسی شرکتی میتواند از چند دلار شروع شود و برای اهداف با ارزش بالا تا صدها هزار دلار برسد.
گسترش اعتبارنامه های بازار تاریک خطر بزرگی را برای سازمان های بین بخشی در سراسر جهان به همراه دارد. خواه این تهدیدات ناشی از هکرهای فردی با رتبه پایین باشد یا از عملیات جرایم سایبری بسیار ماهر، سازمان ها باید حفاظت های دسترسی خود را تقویت کنند.
کشف تهدید مدارک سرقت شده
IAB ها و وابستگان آنها به RaaS برای شروع حملات خود تنها به یک نقطه ورود به هر سازمان مورد نظر نیاز دارند و این به آنها مزیت مشخصی می دهد. هر کارمندی می تواند ناخواسته به این عوامل تهدید دسترسی مورد نیاز خود را ارائه دهد، چه از طریق کلاهبرداری های فیشینگ، استقرار infodealer یا سایر روش ها. در برخی موارد، عوامل تهدید می توانند به رایانه خانگی کارمند، به جای ایستگاه کاری اداری، دسترسی پیدا کرده و از آن برای ورود به شبکه شرکت استفاده کنند. این امر کاهش تهدید را به چالشی بسیار دشوار تبدیل می کند. اما گام های موثری وجود دارد که یک سازمان می تواند بردارد.
ما دهها مورد باجافزار را مشاهده کردهایم که در آنها علت اصلی حمله، اعتبار دسترسی به سرقت رفته بود. با این حال، در بخش بزرگی از این حوادث، تیم اطلاعاتی تهدید ما برخی از این اعتبارنامههای فاش شده را با نظارت بر کانالهای رسانههای اجتماعی، انجمنهای Dark Web و بازارهای زیرزمینی شناسایی کردند.
در یکی از این رویدادها، مشتری مورد حمله اخاذی یکی از مهم ترین گروه های باج افزار قرار گرفت. در حین شروع تحقیقات، تیم اطلاعاتی تهدید ما درخواستی را برای اعتبار قربانی در یک کانال تلگرامی مخرب شناسایی کرد که در آن بازیگران میتوانند اطلاعات لو رفته را درخواست کنند و بلافاصله از طریق یک ربات پاسخ دریافت کنند. بعداً متوجه شدیم که اولین شواهد دال بر دسترسی مهاجم به آن شبکه تنها چند روز پس از ارسال درخواست شناسایی شد.
در حادثه دیگری که مربوط به یک حمله باجافزار بود، تیم اطلاعاتی تهدید ما چند لاگ اطلاعات سرقتی ارائه شده در بازار روسیه را شناسایی کرد که حاوی ورود به داراییهای قربانی بود. هنگامی که تیم این گزارشها را خرید و آنها را تجزیه و تحلیل کرد، اعتبارنامههای لو رفته متعلق به یک کارمند فروشنده شخص ثالث را استخراج کردند که تیم واکنش به حادثه بعداً علت اصلی دسترسی اولیه را یافت.
کاهش خطر اعتبارنامه های به خطر افتاده
تشخیص زودهنگام این دادههای دسترسی ممکن بود حداقل از برخی از این حملات جلوگیری کند، اگر آن اعتبارنامههای فاش شده به سرعت کشف و خنثی میشدند. برخی از اقدامات متقابل برای کاهش خطرات اعتبار در دسترس هستند، که با مراحلی شروع می شود که ثابت شده است در برابر سوء استفاده از هویت شبکه محافظت می کند:
-
نیاز به احراز هویت چند عاملی (MFA) در سراسر سازمان. با افزودن زمینه به اعلانهای فشاری، نیاز به کد، یا ارائه روشهای جایگزین، مانند TOTP (گذرواژه یکبار مصرف مبتنی بر زمان) یا Fast Identity Online (FIDO)، خطرات خستگی MFA را کاهش دهید.
-
اجازه دسترسی به خدمات شرکتی را فقط از طریق نقاط پایانی یا شبکههای مدیریت شده شرکت بدهید.
-
کارکنان را راهنمایی کنید تا از استفاده مجدد از رمزهای عبور شخصی برای حساب های شرکتی خودداری کنند. برای کمک به مدیریت گذرواژهها، یک انبار رمز عبور سازمانی برای آنها در نظر بگیرید.
-
ارائه و شناسایی ناهنجاری ها در تلاش برای ورود به دارایی های شرکت. این ممکن است با استفاده از ویژگی های داخلی ارائه دهندگان هویت، مانند Microsoft Entra ID و Okta به دست آید.
-
اجرای SSO به شدت توصیه می شود. ارائهدهندگان SSO معمولاً قابلیتهای امنیتی بیشتری دارند، اگرچه لزوماً با خطر افشای اعتبارنامهها مرتبط نیستند.
سازمانها همچنین باید به طور مستمر وب دارک و وب باز را برای شناسایی اعتبار کارکنان لو رفته و همچنین شرکای تجاری که دسترسی آنها میتواند از طریق اتصال شخص ثالث و داراییهای مشترک افزایش یابد، نظارت کنند. آنها همچنین باید نشانههایی از سیاهههای اطلاعاتی دزدیدهشده از اعتبارنامههای به خطر افتاده و دادههای مربوط به کارمندان یا شرکای تجاری را جستجو کنند.
وقتی سازمانها اعتبارنامههایی را برای فروش پیدا میکنند، میتوانند آنها را تغییر دهند تا IABها دیگر نتوانند از آنها برای دسترسی استفاده کنند. اگر اعتبارنامه ها قابل تغییر نباشند، سازمان ها حداقل می توانند تلاش های دسترسی را شناسایی کرده و آنها را مسدود کنند.
IAB ها رشد باج افزار را با مراقبت از اولین گام در حمله امکان پذیر می کنند: دستیابی به دسترسی. سازمان هایی که برای ایمن سازی هویت کاربر خود اقداماتی را انجام می دهند، می توانند IAB ها را از موفقیت در این حملات باز دارند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/threat-intelligence/how-to-reduce-threats-from-the-initial-access-brokers-market