从初始访问代理(IAB)趋势看网络犯罪服务的演变

近日,网络安全公司Kela发布了一份探索初始访问代理(Initial access brokers,简称IAB)市场的研究报告,结果发现访问被黑网络的平均成本为5400美元。

近年来,勒索软件即服务(RaaS)团体对初始访问代理非常感兴趣,因为通过直接雇用他们或向他们支付访问目标系统的费用,能够节省很多在目标网络中获取立足点所需的时间、精力和费用。

初始访问代理是指通过多种方式获取对受害者网络初始访问权限的个人或团体。他们最惯用的手段就是通过暴力访问脆弱的远程桌面协议(RDP)或远程管理软件。有时候,攻击者还会利用系统中未修补的漏洞。不过,无论采用哪种方法,一旦成功获得访问权限,这些代理人就可以将其转售给其他人,有时还不止转售一次。

对于网络犯罪分子来说,购买现成的企业网络访问权限的优势显而易见:购买者无需花时间尝试识别受害者并获得其远程访问权限,而是可以直接从选项菜单中根据收入、国家和部门挑选受害者,以及挑选需要的远程访问类型。

正如网络安全公司CrowdStrike所言,当犯罪恶意软件运营商购买访问权限时,他们节省了很多识别目标和获取其访问权限的时间,从而有能够的精力和财力去更多、更快地部署攻击活动,以实现更高的货币化潜力。

特别是对于使用勒索软件的犯罪分子来说,购买访问权限的费用可能只是获取赎金的一小部分,但是却帮他们省去了入侵受害者网络所需的大量时间和精力。安全专家表示,从事大型狩猎活动————摧毁大型目标以寻求更大的赎金——的犯罪团伙会尤为依赖初始访问代理来选择目标和获取权限。

近年来,随着使用机密锁定恶意软件攻击者的需求日渐增大,初始访问代理的商业模式也不断完善。那么,初始访问市场的现状究竟如何?以色列威胁情报公司Kela审查了过去一年在可公开访问的网络犯罪论坛上出售的1,000个访问列表,据称其中至少有262个被确认为“已出售”状态。

根据这些访问列表,Kela发现了初始访问代理领域的10个关键趋势:

1. 访问费用经济实惠

Kela报告称,在2020年7月1日至2021年6月30日期间,远程访问网络的平均价格为5,400 美元,而中位数价格为1,000美元。

访问权限平均售价为5,400美元,而受害者最近支付的赎金平均为137,000 美元

而根据勒索软件响应公司Coveware的数据显示,今年第二季度受害者支付的平均赎金高达137,000美元。对比可见,直接购买访问权限对于犯罪分子而言确实是经济快捷的选择。

2. 远程桌面协议(RDP)和VPN凭据受冲击严重

远程桌面协议和VPN凭据是初始访问代理提供的最常见的访问类型。但除此之外,他们也提供其他类型的访问——例如,通过远程管理软件,许多托管服务提供商会将其安装在他们为客户管理的端点上。

买方出售远程监控和管理软件的访问权限

一些攻击者还会提供对特定类型环境的访问权限。例如,VMWare的ESXi服务器最近在勒索软件攻击者中就非常流行。

买家购买VMWare的ESXi服务器root访问权限

事实上,REvil(又名Sodinokibi)、DarkSide以及现在的BlackMatter都构建了能够加密锁定运行ESXi服务器的Linux设备的恶意软件,以便可以掌握他们的数据以索取赎金。

3. 活动目录(Active Directory)凭据:超值之选

Kela在报告中指出,初始访问代理提供的最有价值的产品包括域管理员权限。试想一下,一旦拥有了对Microsoft Active Directory的域管理员访问权限,也就意味着你可以使用IT工具将加密锁定恶意软件分发到组织内的每个端点。一次强行加密更多系统可能会增加受害者支付赎金以换取解密工具承诺的机会。

4. 首要攻击:美国组织

Kela发现,调查列表中的远程访问凭据数量最多的是美国,占据整个列表的28%,其次是法国、英国、澳大利亚、加拿大、意大利、巴西、西班牙、德国和阿拉伯联合酋长国。

5. 重点受灾行业:制造行业

调查发现,列表所涉组织中最多来自制造行业,其次是教育、IT、金融服务、政府和医疗保健。这些代理不仅会出售对大型企业的访问权限,小公司也不例外,只是售价要明显便宜很多,通常为100-200美元。

6. 通常专盯一位买家推销

一些代理会列出他们出售的访问权限的样本,并告诉买家联系他们以获取更多详细信息。

单个买家寻求大量访问权限的两个帖子,包括“来自一级国家/地区的70个Citrix访问权限”(左)和Active Directory管理员级别的访问权限(右)

这些代理通常倾向于让一个买家购买其所有正在出售的访问权限,如果攻击成功,他们有时甚至会要求获取一定比例的赎金。

7. 多种货币化策略

一些网络访问代理似乎不仅出售访问权限,还会出售来自受害者环境的数据。例如,去年年底,一位代理就曾以4,000 美元的价格出售了巴基斯坦国际航空公司的访问权限。而在出售该航空公司的网络访问权限一周后,该名代理又宣布将继续出售航空公司网络中的所有数据库。在这起案件中,该代理就是利用他获取到的航空公司网络访问权限来窃取公司的数据,进而采取两种不同的方式来尝试实现货币化。

如今,许多威胁情报公司开始监视地下论坛以试图获取有关潜在受害者的详细信息。虽然这是一项付费服务,但通过这种监控收集到的情报可以让受害者能够更快地锁定他们可能错过的网络入侵行为。

初始访问代理先是宣传一家航空公司的访问权限,然后又出售15个据称来自巴基斯坦国际航空公司的数据库

出售网络访问权限和发生勒索软件攻击之间存在时间差,把握住这种时间差尽早检测出企业网络中的漏洞,您的安全团队就越有可能缓解该问题并防止勒索软件攻击造成进一步损害。

8. 代理对白宫举动作出回应

最近几个月,勒索软件已经成为政治上的“烫手山芋”。拜登政府要求俄罗斯政府严厉打击从俄罗斯境内袭击美国目标的犯罪分子,并威胁称,如果俄罗斯当局不尽快采取行动,将直接瓦解他们。

作为回应,一些网络犯罪论坛——包括俄语Exploit和XSS论坛——已宣布禁止勒索软件通信,尽管安全专家表示此类禁令并不总能得到严格执行。同样地,一些初始访问代理似乎对列出某些类型的受害者(例如医疗保健实体)也变得更加谨慎。

9. 私密通信仍在继续

Kela报告称,虽然大型网络犯罪论坛已经明令禁止勒索软件宣传,但是这种销售很可能仍在幕后进行。例如,去年,随着大流行的持续蔓延,一些代理“发布医疗保健部门的受害者,然后受到了其他用户批评后删除了报价”,但不能排除他们后来通过其他途径出售了这些针对医疗保健行业的访问权限的可能性。

初始访问代理场景从来都不是静态的。安全专家表示,新的卖家不断出现,为更多新的受害者做宣传。但想要了解有多少组织受到攻击可能很困难,因为并非所有类型的访问都会发布在网络犯罪论坛上。而且即便他们这样做了,代理们也经常会掩饰受害者的身份,因为,很明显,他们不想受害者得到风声。

虽然一些论坛确实限制了对勒索软件的讨论,但潜在的初始访问代理买家当然不必说明他们购买此类访问权限的目的就是为了实施勒索软件攻击。此外,虽然Exploit和XSS禁止管理员为DarkSide和REvil等团体持有的帐户提供服务,但这些团体可以简单地以其他名称创建新帐户,以继续购买访问权限或建立关系。

10. 与犯罪团体确立合作关系

许多成熟的代理似乎已经与特定的犯罪团体或勒索软件运营的附属机构确立了合作关系,这也使得他们不必在公共网络犯罪论坛上宣传要出售的“访问权限”,而是通过私密通信就能直接实现资源共享。

与前几个季度相比,第二季度的访问列表数量有所下降,这可能正反映了这种转变。除了与犯罪团伙建立合作外,许多代理还会在网络犯罪论坛上列出部分详细信息,并告诉潜在买家私下沟通以获取更多详细信息。

勒索软件运营商为获取“独家业务关系”——或至少是优先购买权——寻找访问代理,也是一种至少在去年年底开始出现的新趋势。就在去年年底,DarkSide勒索软件即服务团体在网络犯罪论坛上发布消息称,它希望找到可以让其接触年收入至少为4亿美元的美国企业的访问代理。

DarkSide运营商在俄语网络犯罪论坛上发布的寻找访问代理的帖子

安全公司Trend Micro的网络犯罪研究主管Bob McArdle表示,许多大型勒索软件运营商似乎已经建立了广泛的连接列表并确立了完善的关系拓扑。虽然这些勒索软件团体可能随时瓦解,但没有什么可以阻止运营商和附属机构在他们离开或加入新团体时携带这些联系,并将其继续应用于新的团体之中。

参考及来源:https://www.bankinfosecurity.com/10-initial-access-broker-trends-cybercrime-service-evolves-a-17249