Помощники киберпреступников

Модные герои киберпреступности

Internet Access Brokers, также известные как breach brokers, продают несанкционированный доступ к сети кибератакующим, которые используют его, чтобы войти в целевую сеть и запустить свои атаки. ¶ Кредит: Security Magazine

Попробуйте представить [Initial Access Brokers (IABs)](https://www.blackberry.com/us/en/solutions/endpoint-security/ransomware-protection/initial-access-broker#:~:text=An%20Initial%20Access%20Broker%20(IAB,groups%20and%20other%20bad%20actors.) в виде преступников, которые продают ключи от дома грабителям. IABs, или breach brokers, продают несанкционированный доступ к сети кибератакующим, которые используют его, чтобы войти в целевую сеть и запустить свои атаки.

По словам неименованного источника в Федеральном бюро расследований США (FBI), злоумышленники полагаются на IABs для проведения незаконных действий, включая мошенничество через бизнес-почту (BEC), мошенничество со старшими людьми, вымогательство и мошенничество в сфере романтики и технической поддержки.

В 2021 году Kela Cyber Threat Intelligence обнаружила, что почти 300 IABs разместили более 1300 объявлений о несанкционированном доступе к сети на форумах киберпреступников , согласно блогу Kela.

По словам Майкла Низича, внештатного доцента компьютерных наук в Нью-Йоркском институте технологии (NYIT), IABs являются первыми, кто обнаруживает уязвимости и получает доступ тем способом, о котором никто другой не знает. Он сказал, что они продают доступ к системам известных публичных компаний тому, кто предложит наибольшую сумму.

Кибератакующие, не являющиеся IABs, могут играть роль IABs, если предоставится возможность. По словам Низича, группы, занимающиеся вымогательством, которые находят новый способ проникновения в организацию, но не хотят его использовать, продают этот доступ.

Продаваемый несанкционированный доступ включает нарушенные учетные данные, такие как Remote Desktop Protocol (RDP) и пароли для Virtual Private Network (VPN). По словам Курта Сайфрида, директора специальных проектов в Альянсе по облачной безопасности, IABs используют фишинг и другие методы для сбора учетных данных, чтобы получить доступ. ” Грубая силовая догадка пароля по-прежнему работает для сбора учетных данных, но не должна. Пора использовать менеджеры паролей и пароли-ключи или перейти к другим методам”, – сказал Сайфрид.

Учетные данные RDP популярны среди IABs, потому что их так много. COVID заставил многих работать из дома, что вызвало беспрецедентный рост аккаунтов RDP. Следовательно, чем больше похищенных учетных данных, тем большее вознаграждение.

Агентства интернет-безопасности (IAB) занимаются отпечатками устройств, файлами cookie браузера и уязвимостями удаленного выполнения кода (RCE) — всем, что злоумышленники могут использовать для проникновения в целевую сеть. По словам Сейфрид, RCE — это один из способов получения доступа к устройству пользователя через уязвимость его веб-браузера. Согласно SC Media, Google исправил уязвимость RCE в своем веб-браузере Chrome в феврале.

По словам Кита Джарвиса, старшего исследователя по безопасности в кибербезопасностной компании Secureworks, хакерская группа LAPSUS$ часто посещала площадки на темной сети, такие как Genesis Market. Группа покупала файлы cookie на рынке, чтобы получить доступ к корпоративным сетям. Согласно Forbes, хакерская группа LAPSUS$, в основном подростки, славится громкими атаками на государственные и корпоративные цели и использованием сложных методов шифрования и вредоносных программ.

В мае 2023 года хакерская группа Black Basta заразила ABB Group, согласно BleepingComputer. ABB, компания по робототехнике и процессной автоматизации, является одной из самых известных жертв атак хакерской группы Black Basta.

Группы-вымогатели Black Basta и другие использовали вредоносную программу и ботнет Qbot для получения начального доступа, как сообщается в BleepingComputer. По информации из релиза Europol, организованная группа преступников управляла Qbot, который также известен как Qakbot.

Согласно пресс-релизу Министерства юстиции США, в апреле 2023 года ведомство закрыло темный интернет-рынок Genesis Market, где продавались отпечатки устройств, включая идентификаторы устройств и файлы cookie браузера, чтобы получить доступ к учетным записям пользователей на веб-сайтах.

По словам не названного источника из ФБР, ФБР преследует IAB, такие как Genesis Market и Qakbot. Это показывает важность, которую ФБР придает IAB в расследовании и ликвидации киберпреступной экосистемы.

IAB не сохраняют доступ в течение долгого времени. По словам Низича из NYIT, IAB продают начальный доступ как можно скорее, так как он становится менее ценным с каждым днем. Риски для IAB заключаются в том, что организация обнаружит и закроет уязвимость или что какой-то другой преступник найдет и использовать ее до того, как они смогут ее продать.

В соответствии с отчетом Secureworks 2022 State of the Threat, медианный период между начальным получением доступа и взрывом рансомвара при вторжениях составляет 4,5 дня. Однако некоторые выбросы все еще сохраняют доступ в течение нескольких месяцев, прежде чем заражать компанию жертвы рансомваром.

По словам Джарвиса: “Я помню одну анекдоту, где на одном сервере была инфекция ботнетом более 18 месяцев. Он просто стоял там холостым. В конце концов, кто-то проник через него, и они смогли успешно выкупить организацию”.

По словам Сайфридa, начальный доступ может оставаться незамеченным, потому что системы, которые не обновляются, принадлежат организациям с ограниченным или отсутствующим бюджетом безопасности, поэтому дополнительные контрольные меры, такие как [мониторинг](https://www.splunk.com/en_us/blog/learn/nsm-network-security-monitoring.html#:~:text=Network%20Security%20Monitoring%20(NSM,as%20an%20intentional%20unauthorized%20activity.), и [отклик](https://www.ibm.com/topics/incident-response#:~:text=Incident%20response%20(sometimes%20called%20cybersecurity,cyberthreats%2C%20security%20breaches%20or%20cyberattacks.), часто являются слабыми или просто отсутствуют.

Хотя IAB (Initial Access Brokers) являются серьезной составляющей современных кибератак, они не увеличивают последствия атаки. Они упрощают жизнь для групп рансомвара и скрипт-детей, которые платят за готовые решения, такие как Ransomware-as-a-Service (RaaS).

По словам Сайфрида, существование IAB демонстрирует зрелую экосистему с рынками начального доступа; группы рансомвара хотят использовать рансомвар, они не хотят тратить время на взлом сетей компаний.

Дэвид Гир – журналист, специализирующийся на вопросах кибербезопасности. Он пишет из Кливленда, Огайо, США.