Vad är Initial Access Brokers?

Ransomware-attacker ökar och för offren för dessa brott är det ett dyrt problem. För aktörer på andra sidan erbjuder trenden dock nya sätt att tjäna pengar. Ett exempel på detta är rollen som den initiala åtkomstmäklaren.

De mest lönsamma ransomware-attackerna kan endast utföras genom att först komma åt ett säkert nätverk och cyberbrottslingar har inte alltid förmågan att uppnå detta. Istället kan de köpa nödvändig åtkomst från en mäklare.

Så vad är inledande åtkomstmäklare och hur kan du skydda dig mot dem?

Vad är Initial Access Brokers?

Initial access-mäklare är illvilliga aktörer som ger tillgång till säkra nätverk mot en avgift. De är ofta hackare men kan också få tillgång till nätverk med hjälp av social ingenjörskonst.

Deras motivation är inte att själva utföra cyberattacker utan snarare att sälja tillgången till en annan part. På grund av lönsamheten av ransomware-attacker och andra cyberattacker finns det många potentiella köpare för en sådan produkt.

Detta gör det möjligt för första accessmäklare att göra betydande vinster trots att de bara spelar en liten roll i cyberbrottslighet som helhet.

Hur Initial Access Brokers får tillgång

Initial access mäklare använder en mängd olika tekniker för att komma in i säkra nätverk. Om ett nätverk använder föråldrad programvara kan hackare kunna bryta sig in snabbt. De kan också försöka ta reda på användaruppgifter med hjälp av brute force-tekniker såsom lösenordssprayning. Eller så kanske de försöker nätfiske, eller nätfiske, attacker mot kända användare.

Vilka typer av åtkomst säljer de?

Initial access mäklare säljer i första hand användaruppgifter. När de väl erhållits ger de innehavaren tillgång till ett nätverk på samma sätt som en legitim användare.

Användaruppgifter säljs främst för protokoll för fjärrskrivbord och VPN. Vissa mäklare för första åtkomst tar också idén vidare genom att installera programvara för fjärrhantering på komprometterade servrar. Autentiseringsuppgifter för den programvaran säljs sedan för att ge bekväm åtkomst.

Efter att ha köpt inloggningsuppgifter kan en angripare leta efter värdefull information, eventuellt inaktivera säkerhetsfunktioner och eventuellt installera vilket program som helst. Med andra ord kan referenserna användas för att initiera ett brett utbud av cyberattacker.

Vem köper från Initial Access Brokers?

Initial access mäklare säljer främst till ransomware-operatörer. De säljer till högstbjudande och ransomware tenderar att vara det mest lönsamma sättet att använda sin produkt. Men initial tillgång kan också ha värde för andra parter. Om en server har konfidentiell information kan användaruppgifter köpas i syfte att erhålla den.

Initial access-mäklare säljer sina produkter på mörka webbmarknader. Deras produktsidor innehåller information som typen av server, åtkomstnivån och intäkterna för företaget som servern tillhör. Detta gör att cyberbrottslingar som är avsedda för en specifik typ av cyberattack enkelt kan hitta lämpliga referenser för det ändamålet.

Priset för första åtkomst varierar från mindre än hundra dollar till många tusen. Inloggningsuppgifter är vanligtvis prissatta baserat på intäkterna för företaget som äger nätverket.

Hur Initial Access Brokers orsakar en ökning av Ransomware-attacker

Ransomware är inte en komplicerad mjukvaruprodukt. Det är också allmänt tillgängligt att köpa på den mörka webben. Många ransomware-operatörer är inte experthackare. De är vanliga människor som har ett kraftfullt verktyg.

Möjligheten att tjäna pengar på ransomware dikteras därför inte av teknisk förmåga eller ens tillgång till programvara. Det begränsas av att det är svårt att hitta nätverk att utföra attacker på.

Stora organisationer spenderar stora summor pengar på att säkra sina nätverk för just detta ändamål. Att slå igenom kräver därför mycket ansträngning och många infiltrationsförsök visar sig misslyckas.

Initial access mäklare tar bort detta hinder för inträde. De startade butiken och meddelar att de redan har gjort allt det hårda arbetet. För en liten avgift (i jämförelse med potentiella vinster) kan vem som helst få tillgång till nätverket för en annars professionell organisation.

Detta har betydande effekter på ransomware-branschen som helhet.

Det erbjuder en effektiv arbetsfördelning som gör att alla parter kan fokusera på det de är bäst på. Hackare kan tjäna pengar på sin förmåga att snabbt komma åt nätverk och grupper av ransomware kan fokusera uteslutande på utpressningssidan.

Det tillåter också individer med begränsad teknisk expertis att utföra attacker utan att faktiskt lära sig något. Ransomware säljs ofta med både användarinstruktioner och kundsupport. Initial access-mäklare tillhandahåller sedan de användaruppgifter som krävs för att dra nytta av det.

Ett annat problem med mäklare med initial access är att de lägger till ytterligare ett lager till ransomware-branschen. Om förövaren av en ransomware-attack åtalas är det osannolikt att den första åtkomstmäklaren som gav åtkomst kommer att åtalas och vice versa. Detta gör lagföring och förebyggande av ransomware-attacker svårare som helhet.

Hur man skyddar sig mot Initial Access Brokers

Initial access-mäklare riktar sig inte till privatpersoner, det är helt enkelt inte lönsamt att göra det. Istället riktar de sig mot företag. Om du är ansvarig för ett potentiellt värdefullt nätverk finns det många steg som du kan vidta för att göra åtkomsten svårare.

• All programvara bör hållas uppdaterad med patchar som installeras omedelbart efter release. Detta förhindrar illvilliga aktörer från att utnyttja kända sårbarheter.
• Alla som har tillgång till ett nätverk bör tänka på hotet från både nätfiske och nätfiske.
• Användningen av starka lösenord bör upprätthållas bland alla användare. Användare bör också förhindras från att använda samma lösenord på flera konton.
• Användningen av multifaktorautentisering bör upprätthållas. Om åtkomst till ett nätverk kräver ytterligare en form av autentisering, blir stulna användaruppgifter ineffektiva.

Initial Access Brokers är ett viktigt hot att vara medveten om

Initial access mäklare är ett viktigt hot för företag att vara medvetna om. När de väl har fått tillgång till ett nätverk, annonserar de möjligheten på den mörka webben och överlämnar referenserna till högstbjudande.

Detta ger köparen möjligheten att stjäla information eller installera ransomware som kräver en betydande ekonomisk utgift att fixa.

För att förhindra denna typ av intrång är det viktigt att hålla nätverk säkra genom att uppdatera programvaran regelbundet och se till att alla användare agerar ansvarsfullt.

Hur hackare använder vår egen teknik mot oss

Läs Nästa

Om författaren