سوال: چگونه کارگزاران دسترسی اولیه را از فروش دسترسی به شبکه‌های ما به هر بازیگر باج‌افزاری که می‌خواهد، نگه داریم؟

رام البویم، مدیر عامل Sygnia: همانطور که باج افزار همچنان ادامه دارد به عنوان یک تهدید سایبری رشد کند، تخصص جدید در میان گروه های جرایم سایبری به آنها برتری در کارایی داده است. یکی از سریع‌ترین حوزه‌های تخصصی در حال رشد، شامل اپراتورهایی است که کار دسترسی به شبکه‌های قربانی را برون سپاری می‌کنند. کارگزاران دسترسی اولیه (IAB).

در شروع یک حمله باج‌افزار، مهاجم نیاز به دسترسی اولیه به شبکه سازمان هدف دارد، جایی که IAB ها وارد می‌شوند. - و سپس این دسترسی را در انجمن‌های زیرزمینی به بازیگران دیگر، از جمله شرکت‌های وابسته به باج‌افزار به‌عنوان سرویس (RaaS) بفروشید. آن دسته از شرکت‌های وابسته که دائماً برای فعال ماندن به دسترسی بیشتری به سازمان‌ها نیاز دارند، به طور فزاینده‌ای برای ارائه این دسترسی به IAB‌ها متکی هستند.

همچنین به عنوان دسترسی به عنوان سرویس شناخته می شود، دسترسی آماده ارائه شده توسط IAB ها به بخشی جدایی ناپذیر از اکوسیستم باج افزار تبدیل شده است. IABها اطلاعات اولیه مورد نیاز گروه‌های باج‌افزار را برای نفوذ فراهم می‌کنند تا اپراتورها بتوانند به سرعت مجموعه وسیع‌تری از قربانیان را هدف قرار دهند، به شبکه‌های آن‌ها دسترسی داشته باشند و به صورت جانبی حرکت کنند تا زمانی که کنترل کافی برای انجام یک حمله را به دست آورند. این یک مدل کارآمد برای تداوم جرایم سایبری است، مدلی که به رشد باج افزار کمک می کند.

چگونه IAB ها دسترسی پیدا می کنند

IAB ها معمولاً ساده ترین مسیر را برای دسترسی به شبکه، اغلب از طریق شبکه های خصوصی مجازی (VPN) یا فناوری پروتکل دسکتاپ از راه دور (RDP) فراهم می کنند. عوامل تهدید می توانند از برخی از آنها سوء استفاده کنند بسیاری از آسیب پذیری های VPN که محققان در سال‌های اخیر کشف کرده‌اند، یا می‌توانند یک شبکه را برای پورت‌های RDP باز اسکن کرده و تکنیک‌های مختلفی را برای به دست آوردن اطلاعات ورود دنبال کنند.

به طور کلی، حدود دو سوم از انواع دسترسی های عرضه شده برای فروش در دارک وب، حساب های RDP و VPN هستند که امکان اتصال مستقیم به شبکه های قربانیان را فراهم می کنند. "گزارش جنایت با فناوری پیشرفته" Group-IB. دسترسی Citrix، پنل‌های مختلف وب (مانند سیستم‌های مدیریت محتوا یا راه‌حل‌های ابری)، و پوسته‌های وب روی سرورهای در معرض خطر کمتر رایج هستند. اعتبار نامه های ایمیل افشا شده یا گزارش های اطلاعات دزدان نیز بسیار محبوب، بسیار در دسترس و ارزان هستند.

اپراتورهای باج افزار از دارک وب برای خرید اعتبار برای نفوذ به شبکه های هدف استفاده می کنند. Group-IB دریافت که پیشنهادات دسترسی اولیه بین سال‌های 2021 تا 2022 بیش از دو برابر شده است، در حالی که تعداد IAB‌ها تقریباً 50 درصد افزایش یافته است. قیمت‌های دسترسی شرکتی می‌تواند از چند دلار شروع شود و برای اهداف با ارزش بالا تا صدها هزار دلار برسد.

گسترش اعتبارنامه های بازار تاریک خطر بزرگی را برای سازمان های بین بخشی در سراسر جهان به همراه دارد. خواه این تهدیدات ناشی از هکرهای فردی با رتبه پایین باشد یا از عملیات جرایم سایبری بسیار ماهر، سازمان ها باید حفاظت های دسترسی خود را تقویت کنند.

کشف تهدید مدارک سرقت شده

IAB ها و وابستگان آنها به RaaS برای شروع حملات خود تنها به یک نقطه ورود به هر سازمان مورد نظر نیاز دارند و این به آنها مزیت مشخصی می دهد. هر کارمندی می تواند ناخواسته به این عوامل تهدید دسترسی مورد نیاز خود را ارائه دهد، چه از طریق کلاهبرداری های فیشینگ، استقرار infodealer یا سایر روش ها. در برخی موارد، عوامل تهدید می توانند به رایانه خانگی کارمند، به جای ایستگاه کاری اداری، دسترسی پیدا کرده و از آن برای ورود به شبکه شرکت استفاده کنند. این امر کاهش تهدید را به چالشی بسیار دشوار تبدیل می کند. اما گام های موثری وجود دارد که یک سازمان می تواند بردارد.

ما ده‌ها مورد باج‌افزار را مشاهده کرده‌ایم که در آن‌ها علت اصلی حمله، اعتبار دسترسی به سرقت رفته بود. با این حال، در بخش بزرگی از این حوادث، تیم اطلاعاتی تهدید ما برخی از این اعتبارنامه‌های فاش شده را با نظارت بر کانال‌های رسانه‌های اجتماعی، انجمن‌های Dark Web و بازارهای زیرزمینی شناسایی کردند.

در یکی از این رویدادها، مشتری مورد حمله اخاذی یکی از مهم ترین گروه های باج افزار قرار گرفت. در حین شروع تحقیقات، تیم اطلاعاتی تهدید ما درخواستی را برای اعتبار قربانی در یک کانال تلگرامی مخرب شناسایی کرد که در آن بازیگران می‌توانند اطلاعات لو رفته را درخواست کنند و بلافاصله از طریق یک ربات پاسخ دریافت کنند. بعداً متوجه شدیم که اولین شواهد دال بر دسترسی مهاجم به آن شبکه تنها چند روز پس از ارسال درخواست شناسایی شد.

در حادثه دیگری که مربوط به یک حمله باج‌افزار بود، تیم اطلاعاتی تهدید ما چند لاگ اطلاعات سرقتی ارائه شده در بازار روسیه را شناسایی کرد که حاوی ورود به دارایی‌های قربانی بود. هنگامی که تیم این گزارش‌ها را خرید و آن‌ها را تجزیه و تحلیل کرد، اعتبارنامه‌های لو رفته متعلق به یک کارمند فروشنده شخص ثالث را استخراج کردند که تیم واکنش به حادثه بعداً علت اصلی دسترسی اولیه را یافت.

کاهش خطر اعتبارنامه های به خطر افتاده

تشخیص زودهنگام این داده‌های دسترسی ممکن بود حداقل از برخی از این حملات جلوگیری کند، اگر آن اعتبارنامه‌های فاش شده به سرعت کشف و خنثی می‌شدند. برخی از اقدامات متقابل برای کاهش خطرات اعتبار در دسترس هستند، که با مراحلی شروع می شود که ثابت شده است در برابر سوء استفاده از هویت شبکه محافظت می کند:

سازمان‌ها همچنین باید به طور مستمر وب دارک و وب باز را برای شناسایی اعتبار کارکنان لو رفته و همچنین شرکای تجاری که دسترسی آنها می‌تواند از طریق اتصال شخص ثالث و دارایی‌های مشترک افزایش یابد، نظارت کنند. آن‌ها همچنین باید نشانه‌هایی از سیاهه‌های اطلاعاتی دزدیده‌شده از اعتبارنامه‌های به خطر افتاده و داده‌های مربوط به کارمندان یا شرکای تجاری را جستجو کنند.

وقتی سازمان‌ها اعتبارنامه‌هایی را برای فروش پیدا می‌کنند، می‌توانند آن‌ها را تغییر دهند تا IAB‌ها دیگر نتوانند از آنها برای دسترسی استفاده کنند. اگر اعتبارنامه ها قابل تغییر نباشند، سازمان ها حداقل می توانند تلاش های دسترسی را شناسایی کرده و آنها را مسدود کنند.

IAB ها رشد باج افزار را با مراقبت از اولین گام در حمله امکان پذیر می کنند: دستیابی به دسترسی. سازمان هایی که برای ایمن سازی هویت کاربر خود اقداماتی را انجام می دهند، می توانند IAB ها را از موفقیت در این حملات باز دارند.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/threat-intelligence/how-to-reduce-threats-from-the-initial-access-brokers-market