初期アクセスブローカー：IABはランサムウェア攻撃の増加とどのように関連していますか？

ランサムウェア攻撃は過去2年間で深刻に増加しており、企業の世界のあらゆる分野を標的にしています。これらのサイバー犯罪者は多くの企業を危険にさらす可能性があるため、非常に熟練していると思われるかもしれません。もし私があなたに彼らがあなたが思うほど熟練していないかもしれないとあなたに言ったらどうしますか、そしてこれらのグループの多くは単に他のサイバー犯罪者から会社へのアクセスを購入しますか？初期アクセスブローカーの世界へようこそ。

初期アクセスブローカーとは何ですか？

初期アクセスブローカーは、企業ネットワークへのアクセスを購入したい人に販売します。当初、IABは、さまざまな関心を持つサイバー犯罪者への企業アクセスを販売していました。企業の知的財産や企業秘密(サイバースパイ)を盗むための足がかりを得たり、金融詐欺やクレジットカード番号だけを許可する会計データを見つけたり、一部のボットネットに企業のマシンを追加したりしていました。 、アクセスを使用してスパムを送信したり、データを破壊したりするなど。企業へのアクセスを購入することは詐欺師にとって興味深い場合が多くありますが、それはランサムウェア時代以前のことです。

参照：サイバーセキュリティ戦略2021：戦術、課題、およびサプライチェーンの懸念(TechRepublic Premium)

ランサムウェア事件の大規模な仲介を見て、一部のサイバー犯罪者は、この方法で簡単に金儲けをしようと決心しました。会社と足場を得るo nそのネットワーク。ここでIABが活躍します。

ランサムウェアグループは、企業の最初の侵害に突然時間を費やすことをやめ、ランサムウェアの内部展開と、場合によっては企業の完全な消去に集中する機会を見ました。 ‘ バックアップデータ。被害者に要求される身代金と比較して、アクセスのコストはごくわずかです。

IAB活動は、サイバー犯罪の地下フォーラムや市場でますます人気が高まっています。これらの市場でアクセスを販売するために、ブローカーは常に同じ種類の情報を使用して宣伝します：会社が属する業界、従業員数、収益、アクセスの種類、およびその価格(図A)。

図A

企業ネットワークにアクセスするための価格は、おおよそ$ 1の間で異なります000および$10、000。 IABは通常、1人の顧客にのみアクセスを提供しますが、評判の低いブローカーが、消える前に同時に複数の異なる顧客に同じアクセスを販売することは珍しくありません。

IABはどのようなアクセスを販売していますか？

ActiveDirectory資格情報

IABが販売できる最も価値のあるアクセスはドメイン管理者アクセス。会社のActiveDirectoryにアクセスできます。この種のアクセスは、ランサムウェアグループがネットワーク全体にマルウェアを配布するためにすぐに使用できるため、ランサムウェアグループの作業量を大幅に削減します。

パネルアクセス

インターネットからアクセスできるさまざまなコントロールパネルへのアクセスは、IABによって販売されます。このようなパネルは通常、Webホスティングコンテンツへのアクセスを提供します。これには、多くの場合、支払いソリューション、したがってクレジットカードの詳細が含まれます。そのようなパネルの中で最も人気があるのはcPanelです。

Webシェルaccess

Webシェルは小さなソフトウェアですそれは静かにウェブサーバーのアーキテクチャにあります。これは通常、フォルダに隠されており、Webサーバーを侵害してWebシェルをそこに置いた攻撃者だけがアクセス方法を知っています。さらに、一部のWebシェルは、攻撃者が設定したパスワードによってアクセスを保護することができます。一部のIABは、侵害されたWebサーバーにWebシェルをセットアップし、そのアクセスを販売します。

RDPアクセス

最も一般的なアンダーグラウンドフォーラムで販売されているアクセスは、リモートデスクトッププロトコルアクセスです。このプロトコルは、企業間、特にこの方法で企業リソースにアクセスできるリモートワーカーに非常に人気があります。必要なのはログインとパスワードだけであり、攻撃者がインターネット全体のRDPサーバーを大規模にスキャンして、ブルートフォース攻撃を試みるのは非常に簡単です。

VPNアクセス

リモートの従業員が企業ネットワークに接続して効率的に作業できるようにするために、仮想プライベートネットワークを展開する企業がますます増えています。 RDPの場合と同様に、2要素認証がない場合は、ログインとパスワードのみで企業ネットワークにアクセスできます。

仮想マシンアクセス

IABは、VMwareESXiサーバーへのルートアクセスをランサムウェアギャングに販売することが増えています。たとえば、DarkSideランサムウェアには、これらのシステムを特に対象とするコードが含まれています。

参照：パスワード違反：ポップカルチャーとパスワードが混ざらない理由(無料のPDF)(TechRepublic)

RMMアクセス

リモート監視および管理は、ITプロフェッショナルがネットワークを管理するのに役立つように設計されたソフトウェアです。これらは、ネットワークの複数のマシンに昇格されたアクセス許可を提供し、IABが販売する興味深いデータになります。

IABからビジネスを保護するにはどうすればよいですか？

どうすればよいですか？企業は、リスクのある資産を初期アクセスブローカーから保護していますか？リスクを軽減するために、これらの推奨事項に従ってください。

VPN / RDP / RMM /コントロールパネルアクセス

• 2FAをサポートするRDPおよびVPNゲートウェイのみを使用してください。また、2FAを許可するコントロールパネルのみを使用してください。それらをハッキングすることはまだ可能ですが、アクセスごとに手作業が必要なため、そのようなアクセスを販売することは複雑です。会社へのアクセスを望んでいるサイバー犯罪者は、確かにそのソリューションを使用せず、別のソリューションを取得しようとします。
• RDPアクセスのネットワークレベル認証を有効にします。
• 簡単なパスワードのブルートフォースを回避するための強力なパスワード管理ポリシーを設定します。
• 可能であれば、特権アカウントのリモート接続を許可しないでください。
• 3つまたは5つ以上のログインに失敗したユーザーを自動的にロックアウトしますそれらを調査します。
• 一部のパネルにはセキュリティプラグインがあります。常にアクティブにして使用する必要があります。

Webシェル

WebサーバーからWebコンテンツを監視します。ゲストやユーザーがアクセスしてはならないフォルダに新しいファイルが表示されていないか確認してください。また、攻撃者がファイルをWebシェルに置き換える場合は、更新の結果ではないこれらのファイルのハッシュ変更を確認してください。

地下フォーラムを監視する

一部の企業は、ダークウェブ、さらには複数のサイバー犯罪フォーラムやマーケットプレイスの監視を提供しています。会社がサイバー犯罪者、特にIABによって言及されたときにアラートを受け取るものを購読します。そうすれば、残念ながらネットワークがすでに侵害されている場合でも、脅威に迅速に対応することで影響を制限できる可能性があります。

一般的なセキュリティのグッドプラクティスを忘れないでください

• システムとソフトウェアを常に最新の状態に保ち、常にできるだけ早くパッチを展開します。これにより、新しい脆弱性による最初の侵害が防止される可能性があります。
• ネットワークとコンピュータで完全なセキュリティ監査を実行し、変更または更新する必要があるすべてを修正します。
• 侵入防止システム/侵入検知システム(IPS / IDS)を使用します。

開示：私はトレンドマイクロですが、この記事で表現されている見解は私のものです。

も参照してくださいクリスマスに間に合うように、ランサムウェア(TechRepublic)のためにKronosの給与とHRクラウドソフトウェアがオフラインになります
• ランサムウェア攻撃：中小企業が$

  を支払った理由、000身代金(TechRepublic)

• エキスパート：Intel共有は、インフラストラクチャのサイバー攻撃を防ぐための鍵です(TechRepublic)
• サイバーセキュリティプロになる方法：チートシート(TechRepublic)
• NISTサイバーセキュリティフレームワーク：専門家向けのチートシート(無料PDF)(TechRepublic)
• モバイルVPNアプリとは何ですか？なぜそれらを使用する必要があるのですか？ (TechRepublic Premium)
• サイバーセキュリティおよびサイバー戦争：必読の記事(TechRepublic on Flipboard)