Wewnątrz łańcucha dostaw oprogramowania ransomware: rola brokerów dostępu początkowego w nowoczesnych atakach

Cyberprzestępcy korzystający z ransomware polegają na licznych zestawach umiejętności hakerskich aby naruszać, zakłócać i szantażować organizacje. Jedną z takich ról pełnią brokerzy dostępu początkowego (Initial Access Brokers, IAB), którzy są znaczącymi graczami w wydajnym ekosystemie RaaS (Ransomware as a Service Przyczyniają się do rozprzestrzeniania się ataków ransomware i Business Email Compromise (BEC). Niestety zwykły antywirus może nie zapewnić ochrony przed tego typu zagrożeniami. Dlatego w tym artykule przedstawimy rolę brokerów dostępu początkowego w nowoczesnych cyberatakach.

Zrozumienie roli brokerów dostępu początkowego

Jaką rolę odgrywa IAB? Brokerzy dostępu początkowego ułatwiają „włamanie” do organizacji takiej jak Twoja. Gdyby to było włamanie do domu, o którym mówimy, IAB rozbiliby okno lub otworzyli zamek, a następnie odeszli, aby umożliwić innemu przestępcy dostęp do Twojego domu i kradzież mienia.

W tym przypadku IAB specjalizują się w różnych metodach uzyskiwania nieautoryzowanego dostępu cyfrowego, w tym w skanowaniu luk w zabezpieczeniach i ich wykorzystywaniu lub stosowaniu ataków phishingowych i innych metod inżynierii społecznej w celu zdobycia danych uwierzytelniających.

Gdy znajdą się w środowisku Twojej organizacji, ustanawiają trwałość. Często tworzą wiele punktów dostępu w Twoim środowisku na wypadek wykrycia i naprawienia jednej metody. Po ustanowieniu dostępu gracz IAB sprzedaje zweryfikowany dostęp do Twojej sieci cyberprzestępcom w dark webie o różnych zestawach umiejętności. Ci przestępcy wykorzystują te otwarte drzwi sieciowe, aby wejść i poruszać się bocznie po Twoim środowisku jako część ataku ransomware lub aby wejść i obserwować istotne transakcje i dane, które mogą wykorzystać do udanego ataku BEC.

W jaki sposób brokerzy dostępu początkowego ułatwiają ataki ransomware

Oto konkretne przykłady roli IAB w atakach ransomware.

Znalezienie bezbronnej ofiary

IAB polegają na zautomatyzowanych systemach i narzędziach, które przeszukują internet w celu odkrycia luk w organizacji. Może to obejmować niezałatane sieci VPN, podatne systemy RDP, luki w punktach końcowych lub znane podatne oprogramowanie. Aby jeszcze bardziej rozbudować bibliotekę ofiar, niektóre IAB będą przeprowadzać bardziej złożone ataki phishingowe lub brute-force w celu naruszenia kont. Mogą nawet wykorzystywać zagrożenia wewnętrzne, takie jak niezadowoleni pracownicy lub pracownicy chętni do ułatwienia dostępu.

Początkowy kompromis

Gdy zostanie odnaleziona droga do organizacji, IAB-y wykonują ciężką pracę polegającą na wykorzystaniu podatności, systemu, oprogramowania lub pracownika i upewniają się, że doprowadzi to do naruszenia. Aby jeszcze bardziej utrwalić naruszenie lub zwiększyć szanse powodzenia, mogą wykorzystywać wiele podatności w organizacji.

Ustanawianie wytrwałości

Niezależnie od tego, czy jest to naruszenie poprzez skradzione dane uwierzytelniające, podatne systemy RDP czy niezałatany VPN, IAB muszą upewnić się, że ich dostęp jest trwały i że mogą łatwo zapewnić dostęp z powrotem do sieci organizacji, ponieważ to właśnie sprzedają. Wymaga to ruchu bocznego w organizacji, skonfigurowania wielu punktów dostępu lub powłoki internetowej w witrynie firmy. Te przyczółki ustanawiają trwałość i zapewniają, że nawet jeśli luka zostanie załatana lub hasło zostanie zresetowane, IAB nadal będzie mieć dostęp.

Sprzedaż dostępu

Po uzyskaniu stałego dostępu do organizacji mogą klasyfikować swoje ofiary według pionów i publikować je na znanych stronach hakerskich, forach, a nawet w zaszyfrowanych miejscach komunikacji, takich jak Telegram. Grupy hakerów mogą kontaktować się bezpośrednio z bardziej doświadczonymi i renomowanymi IAB, aby uzyskać dostęp do określonego celu.

Naruszenie po uzyskaniu dostępu

Po tym, jak IAB sprzeda dostęp do organizacji, jego praca jest skończona. Mogą albo kontynuować sprzedaż dostępu do większej liczby grup, albo poszukać innej ofiary, którą można skompromitować. Po stronie ofiary osoba lub grupa, która zakupiła dostęp, może teraz wykonać resztę ataku ransomware, dostarczyć złośliwe oprogramowanie i realizować cele ataku, np. żądać okupu.

Jak IAB stały się kluczowe w atakach typu ransomware i BEC

Chociaż brokerzy dostępu początkowego i ich specjalistyczne umiejętności stanowią istotną część ekosystemu RaaS, możesz się zastanawiać, co sprawiło, że zyskali tak kluczowe znaczenie.

Pandemia zmusiła wiele osób do pozostania w domu, zwiększając zależność organizacji od protokołu RDP (Remote Desktop Protocol) i technologii VPN, aby pozostać w kontakcie. Te legalne narzędzia poszerzyły powierzchnię ataku.  

W tym samym czasie ataki ransomware ewoluowały, obejmując podwójny element wymuszenia. Cyberprzestępcy blokowali organizacjom dostęp do ich danych i grozili wyciekiem lub ujawnieniem danych, jeśli firmy nie zapłacą okupu. Często zwiększali skalę ataku, wykorzystując skradzione informacje do wymuszenia na pracownikach, ujawniania ich danych osobowych (tzw. doxowania) lub przeprowadzania bardziej ukierunkowanych ataków w celu przyspieszenia płatności.

Te „ulepszenia modelu biznesowego” rozszerzyły ekosystem ransomware. To znacznie zwiększyło rentowność, co doprowadziło do wzrostu RaaS wraz z dodatkowymi pośrednikami i podmiotami stowarzyszonymi, których zaangażowanie pomogło ułatwić te ataki na dużą skalę.

Ten zwrot sprzyjał również wyspecjalizowanym rolom w kampaniach ransomware, co skutkowało rozbieżnymi funkcjami, które oferowały swoje usługi wielu różnym grupom cyerprzestępców. Poprawiona wydajność, skuteczność i dzielenie ryzyka między tymi grupami sprawiły, że ataki ransomware stały się znacznie bardziej atrakcyjne.

Brokerzy dostępu początkowego (IAB) to jedna z tych wyspecjalizowanych ról i są zasadniczo wartościowymi pośrednikami, którzy zapewniają dostęp jako usługę, monetyzując ten dostęp, jednocześnie utrzymując własne ryzyko na niskim poziomie, ponieważ sami nie przeprowadzają ataku. W wielu przypadkach brakuje im umiejętności technicznych do wdrożenia tego rodzaju ataku. Jeśli organizacja wykryje naruszenie, ryzyko w dużej mierze spada na osobę, która wykonała atak ransomware, a nie na IAB. Załoga IAB zmonetyzowała dostęp początkowy i przeszła do następnego celu.

IAB ukierunkowane na specyficzne sektory przemysłu

Bitdefender Threat Intelligence ujawnia, że IAB-y najczęściej atakują specyficzne sektory przemysłu, takie jak finanse, opieka zdrowotna, produkcja i rząd. Finanse są zawsze celem o wysokiej wartości, ale inne branże na liście są również dochodowe, ponieważ są znane z posiadania wielu podatnych systemów i mniejszej ilości zasobów do ochrony siebie.

IAB i zwiększone ryzyko cybernetyczne

Pojawienie się IAB podkreśla ewolucję krajobrazu cyberzagrożeń. Luki w zabezpieczeniach są dziś częściej wykorzystywane, a ponieważ IAB sprzedają dostęp, jedna organizacja może paść ofiarą wielu ataków za pośrednictwem różnych cyberprzestępców.

Odpowiednia strategia i narzędzia mogą pomóc w stworzeniu wielowarstwowej cyberobrony, która znacząco zmniejszy ryzyko dla Twojej organizacji.