Ataki ransomware są coraz częstsze i dla ofiar tych przestępstw jest to kosztowny problem. Jednak aktorom po drugiej stronie trend oferuje nowe sposoby zarabiania pieniędzy. Jednym z przykładów jest rola początkowego brokera dostępu.

Najbardziej dochodowe ataki ransomware można przeprowadzić tylko po uprzednim uzyskaniu dostępu do bezpiecznej sieci, a cyberprzestępcy nie zawsze są w stanie to osiągnąć. Zamiast tego mogą wykupić niezbędny dostęp od brokera.

Czym więc są brokerzy początkowego dostępu i jak możesz się przed nimi chronić?

Kim są brokerzy początkowego dostępu?

Brokerzy dostępu początkowego to złośliwi aktorzy, którzy za opłatą zapewniają dostęp do bezpiecznych sieci. Często są hakerami, ale mogą również uzyskać dostęp do sieci za pomocą socjotechniki.

Ich motywacją nie jest samodzielne przeprowadzanie cyberataków, ale sprzedaż dostępu innej stronie. Ze względu na rentowność ataków ransomware i inne cyberataki, jest wielu potencjalnych nabywców takiego produktu.

Pozwala to brokerom z początkowym dostępem osiągać znaczne zyski, mimo że odgrywają niewielką rolę w całości cyberprzestępczości.

instagram viewer

Jak wstępni brokerzy dostępu uzyskują dostęp

Brokerzy dostępu początkowego stosują różne techniki, aby wejść do bezpiecznych sieci. Jeśli sieć wykorzystuje przestarzałe oprogramowanie, hakerzy mogą być w stanie szybko się włamać. Mogą również próbować ustalić dane uwierzytelniające użytkownika za pomocą technik brute force takie jak rozpylanie hasła. Lub mogą próbować phishingu, lub spear phishing, ataki na znanych użytkowników.

Jakie rodzaje dostępu sprzedają?

Brokerzy dostępu początkowego sprzedają przede wszystkim dane uwierzytelniające użytkownika. Po uzyskaniu umożliwiają posiadaczowi dostęp do sieci w taki sam sposób, jak legalny użytkownik.

Poświadczenia użytkownika są sprzedawane głównie dla protokołów zdalnego pulpitu i VPN. Niektórzy brokerzy początkowego dostępu również rozwijają ten pomysł, instalując oprogramowanie do zdalnego zarządzania na zaatakowanych serwerach. Poświadczenia dla tego oprogramowania są następnie sprzedawane z zapewnieniem wygodnego dostępu.

Po zakupie poświadczeń osoba atakująca jest w stanie wyszukać cenne informacje, prawdopodobnie wyłączyć funkcje bezpieczeństwa i potencjalnie zainstalować dowolny program, który mu się podoba. Innymi słowy, dane uwierzytelniające mogą zostać wykorzystane do zainicjowania szerokiej gamy cyberataków.

Kto kupuje od początkowych brokerów dostępu?

Brokerzy początkowego dostępu sprzedają głównie operatorom oprogramowania ransomware. Sprzedają oferentom, którzy zaoferują najwyższą cenę, a oprogramowanie ransomware jest zazwyczaj najbardziej dochodowym sposobem korzystania z ich produktu. Ale wstępny dostęp może również mieć wartość dla innych stron. Jeśli serwer zawiera informacje poufne, można zakupić poświadczenia użytkownika w celu ich uzyskania.

Brokerzy początkowego dostępu sprzedają swoje produkty na ciemnych rynkach internetowych. Ich strony produktów zawierają informacje, takie jak typ serwera, poziom dostępu i dochód firmy, do której należy serwer. Dzięki temu cyberprzestępcy zamierzający przeprowadzić określony rodzaj cyberataku mogą łatwo znaleźć odpowiednie dane uwierzytelniające do tego celu.

Cena pierwszego dostępu waha się od niespełna stu dolarów do wielu tysięcy. Poświadczenia są zazwyczaj wyceniane na podstawie przychodów firmy będącej właścicielem sieci.

Jak brokerzy początkowego dostępu powodują wzrost ataków ransomware

Ransomware nie jest skomplikowanym oprogramowaniem. Jest również powszechnie dostępny do zakupu w ciemnej sieci. Wielu operatorów ransomware nie jest doświadczonymi hakerami. To zwykli ludzie posiadający potężne narzędzie.

Możliwość zarabiania pieniędzy na oprogramowaniu ransomware nie jest zatem podyktowana zdolnościami technicznymi ani nawet dostępem do oprogramowania. Ogranicza go fakt, że znalezienie sieci do przeprowadzania ataków jest trudne.

Duże organizacje wydają duże sumy pieniędzy na zabezpieczenie swoich sieci właśnie w tym celu. Przebicie się wymaga więc dużego wysiłku, a wiele prób infiltracji kończy się niepowodzeniem.

Brokerzy początkowego dostępu usuwają tę barierę wejścia. Zakładają sklep i ogłaszają, że wykonali już całą ciężką pracę. Za niewielką opłatą (w porównaniu do potencjalnych zysków) każdy może uzyskać dostęp do sieci profesjonalnej organizacji.

Ma to znaczący wpływ na całą branżę oprogramowania ransomware.

Oferuje efektywny podział pracy, co pozwala wszystkim stronom skupić się na tym, co robią najlepiej. Hakerzy mogą zarabiać na swojej zdolności szybkiego dostępu do sieci, a grupy ransomware mogą skupić się wyłącznie na stronie wymuszeń.

Pozwala również osobom o ograniczonej wiedzy technicznej na przeprowadzanie ataków bez faktycznego uczenia się czegokolwiek. Oprogramowanie ransomware jest często sprzedawane wraz z instrukcjami użytkownika i obsługą klienta. Brokerzy dostępu początkowego dostarczają następnie poświadczenia użytkownika niezbędne do czerpania z tego korzyści.

Innym problemem związanym z brokerami początkowego dostępu jest to, że dodają kolejną warstwę do branży oprogramowania ransomware. Jeśli sprawca ataku ransomware zostanie oskarżony, jest mało prawdopodobne, aby pośrednik początkowego dostępu, który zapewnił dostęp, został oskarżony i na odwrót. To sprawia, że ​​ściganie i zapobieganie atakom ransomware jest ogólnie trudniejsze.

Jak chronić się przed początkowymi brokerami dostępu?

Brokerzy początkowego dostępu nie atakują osób prywatnych, po prostu nie jest to opłacalne. Zamiast tego celują w firmy. Jeśli zarządzasz potencjalnie wartościową siecią, możesz podjąć wiele kroków, aby utrudnić dostęp.

  • Całe oprogramowanie powinno być aktualizowane, a poprawki są instalowane natychmiast po wydaniu. Zapobiega to wykorzystywaniu znanych luk w zabezpieczeniach przez złośliwych cyberprzestępców.
  • Każdy, kto ma dostęp do sieci, powinien pomyśleć o zagrożeniu, jakie stanowi zarówno phishing, jak i e-maile typu spear phishing.
  • Należy wymusić stosowanie silnych haseł wśród wszystkich użytkowników. Należy również uniemożliwić użytkownikom używanie tego samego hasła na wielu kontach.
  • Należy wymusić stosowanie uwierzytelniania wieloskładnikowego. Jeśli dostęp do sieci wymaga dodatkowej formy uwierzytelniania, skradzione poświadczenia użytkownika są nieskuteczne.

Brokerzy początkowego dostępu są ważnym zagrożeniem, o którym należy pamiętać

Brokerzy początkowego dostępu są ważnym zagrożeniem, o którym muszą wiedzieć firmy. Po uzyskaniu dostępu do sieci reklamują tę możliwość w ciemnej sieci i przekazują dane uwierzytelniające temu, kto zaoferuje najwyższą cenę.

Daje to kupującemu możliwość kradzieży informacji lub zainstalowania oprogramowania ransomware, którego naprawa wymaga znacznych nakładów finansowych.

Aby zapobiec tego typu włamaniom, ważne jest, aby zapewnić bezpieczeństwo sieci poprzez regularne aktualizowanie oprogramowania i upewnienie się, że wszyscy użytkownicy działają odpowiedzialnie.

Jak hakerzy wykorzystują naszą własną technologię przeciwko nam

Czytaj dalej

UdziałĆwierkaćUdziałE-mail

Powiązane tematy

  • Bezpieczeństwo
  • Bezpieczeństwo cybernetyczne
  • Ransomware

O autorze

Elliot Nesbo (92 opublikowane artykuły)

Elliot jest niezależnym pisarzem technicznym. Pisze przede wszystkim o fintechu i cyberbezpieczeństwie.

Więcej od Elliota Nesbo

Zapisz się do naszego newslettera

Dołącz do naszego newslettera, aby otrzymywać porady techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!

Kliknij tutaj, aby zasubskrybować