Атаките на Ransomware се увеличават и за жертвите на тези престъпления това е скъп проблем. За актьорите от другата страна обаче тенденцията предлага нови начини за печелене на пари. Един пример за това е ролята на началния брокер за достъп.
Най-печелившите атаки за рансъмуер могат да бъдат извършени само чрез първо достъп до защитена мрежа и киберпрестъпниците не винаги имат възможността да постигнат това. Вместо това те могат да закупят необходимия достъп от брокер.
И така, какво представляват брокерите за първоначален достъп и как можете да се защитите от тях?
Какво представляват брокерите за първоначален достъп?
Брокерите за първоначален достъп са злонамерени участници, които предоставят достъп до защитени мрежи срещу заплащане. Те често са хакери, но също така могат да получат достъп до мрежи с помощта на социално инженерство.
Тяхната мотивация не е сами да извършват кибератаки, а по-скоро да продадат достъпа на друга страна. Поради рентабилността на атаки на ransomware и други кибератаки, има много потенциални купувачи за такъв продукт.
Това позволява на брокерите за първоначален достъп да правят значителни печалби, въпреки че играят само малка роля в киберпрестъпленията като цяло.
Как брокерите за първоначален достъп получават достъп
Брокерите за първоначален достъп използват различни техники за влизане в защитени мрежи. Ако мрежата използва остарял софтуер, хакерите може да успеят да проникнат бързо. Те могат също да се опитат да разберат потребителските идентификационни данни с помощта на техники за груба сила като пръскане на парола. Или могат да опитат фишинг, или spear phishing, атаки срещу известни потребители.
Какви видове достъп продават?
Брокерите за първоначален достъп продават предимно потребителски идентификационни данни. Веднъж получени, те позволяват на притежателя да има достъп до мрежа по същия начин като легитимен потребител.
Потребителските идентификационни данни се продават предимно за протоколи за отдалечен работен плот и VPN. Някои брокери за първоначален достъп също развиват идеята, като инсталират софтуер за дистанционно управление на компрометирани сървъри. След това идентификационните данни за този софтуер се продават при предоставяне на удобен достъп.
След закупуване на идентификационни данни нападателят може да търси ценна информация, евентуално да деактивира функциите за сигурност и потенциално да инсталира всяка програма, която му харесва. С други думи, идентификационните данни могат да се използват за иницииране на широк спектър от кибератаки.
Кой купува от брокери за първоначален достъп?
Брокерите за първоначален достъп продават предимно на оператори за рансъмуер. Те продават на най-високата цена, а софтуерът за откуп обикновено е най-печелившият начин за използване на техния продукт. Но първоначалният достъп може да има стойност и за други страни. Ако сървърът има поверителна информация, потребителските идентификационни данни могат да бъдат закупени за целите на получаването й.
Брокерите за първоначален достъп продават своите продукти на пазари за тъмна мрежа. Техните продуктови страници включват информация като типа сървър, нивото на достъп и приходите на компанията, към която принадлежи сървърът. Това позволява на киберпрестъпниците, които имат намерение за конкретен тип кибератака, лесно да намерят подходящи идентификационни данни за тази цел.
Цената на първоначалния достъп варира от по-малко от сто долара до много хиляди. Идентификационните данни обикновено се определят въз основа на приходите на компанията, която притежава мрежата.
Как брокерите за първоначален достъп причиняват нарастване на атаките на Ransomware
Ransomware не е сложен софтуерен продукт. Също така е широко достъпен за закупуване в тъмната мрежа. Много оператори на ransomware не са експертни хакери. Те са обикновени хора, притежаващи мощен инструмент.
Следователно възможността да се правят пари от ransomware не е продиктувана от технически възможности или дори достъп до софтуер. Ограничено е от факта, че намирането на мрежи за извършване на атаки е трудно.
Големите организации харчат големи суми пари, за да подсигурят мрежите си точно за тази цел. Следователно пробиването изисква много усилия и много опити за проникване се оказват неуспешни.
Брокерите за първоначален достъп премахват тази бариера за навлизане. Те създават магазин и обявяват, че вече са свършили цялата упорита работа. Срещу малка такса (в сравнение с потенциалните печалби) всеки може да получи достъп до мрежата на иначе професионална организация.
Това има значителни ефекти върху индустрията за рансъмуер като цяло.
Той предлага ефективно разделение на труда, което позволява на всички страни да се съсредоточат върху това, което правят най-добре. Хакерите могат да осигурят приходи от способността си за бърз достъп до мрежи, а групите за откуп са в състояние да се съсредоточат изключително върху страната на изнудването.
Освен това позволява на хора с ограничен технически опит да извършват атаки, без да научат нищо. Ransomware често се продава както с инструкции за потребителя, така и с поддръжка на клиенти. След това брокерите за първоначален достъп предоставят на потребителя идентификационни данни, необходими за печалба от него.
Друг проблем с брокерите за първоначален достъп е, че те добавят още един слой към индустрията за рансъмуер. Ако извършителят на атака на ransomware бъде преследван, първоначалният брокер за достъп, който е предоставил достъп, е малко вероятно да бъде преследван и обратно. Това прави наказателното преследване и предотвратяването на атаките на ransomware по-трудни като цяло.
Как да се предпазим от брокери за първоначален достъп
Брокерите за първоначален достъп не са насочени към частни лица, просто не е изгодно да го правят. Вместо това те са насочени към бизнеса. Ако отговаряте за потенциално ценна мрежа, има много стъпки, които можете да предприемете, за да затрудните достъпа.
- Целият софтуер трябва да се актуализира с пачове, които се инсталират веднага след пускането. Това не позволява на злонамерените участници да използват известни уязвимости.
- Всеки, който има достъп до мрежа, трябва да се замисли за заплахата, която представляват както фишинг, така и фишинг имейли.
- Използването на силни пароли трябва да бъде наложено сред всички потребители. Потребителите също трябва да бъдат възпрепятствани да използват една и съща парола в множество акаунти.
- Използването на многофакторно удостоверяване трябва да бъде наложено. Ако достъпът до мрежа изисква допълнителна форма на удостоверяване, откраднатите потребителски идентификационни данни се правят неефективни.
Брокерите за първоначален достъп са важна заплаха, за която трябва да знаете
Брокерите за първоначален достъп са важна заплаха за бизнеса, с която трябва да са наясно. След като получат достъп до мрежа, те рекламират възможността в тъмната мрежа и предават идентификационните данни на най-високата цена.
Това предоставя на купувача възможността да открадне информация или да инсталира софтуер за откуп, което изисква значителни финансови разходи за отстраняване.
За да предотвратите този тип проникване, е важно да поддържате мрежите защитени, като актуализирате редовно софтуера и се уверите, че всички потребители действат отговорно.
Как хакерите използват нашата собствена технология срещу нас
Прочетете Следващото
Свързани теми
- Сигурност
- Кибер защита
- Ransomware
За автора
Елиът е технически писател на свободна практика. Той пише предимно за финтех и киберсигурност.
Абонирайте се за нашия бюлетин
Присъединете се към нашия бюлетин за технически съвети, ревюта, безплатни електронни книги и ексклузивни оферти!
Щракнете тук, за да се абонирате
