被盗凭证和初始访问的出售在暗网市场上占据主导地位

作为服务的访问在地下市场上蓬勃发展,有超过7.75亿个被盗凭证出售,以及数千条为访问服务打广告的信息
凭证被盗 在暗网出售

围绕着对受损系统、服务和网络的访问的网络犯罪经济在过去一年里急剧增长,通过恶意软件窃取并出售的凭证数量增加了六倍。

根据 Recorded Future 新发布的年度报告的发现,随着网络攻击者使用窃取信息的恶意软件来收集凭证,作为服务的访问的供应在犯罪地下世界中迅速扩张,有数千条广告向潜在的网络犯罪分子提供对受损系统的访问。

此外,根据报告,数据收集、使用被盗账户和网络钓鱼是网络犯罪论坛中讨论最多的前十大策略之一。

Recorded Future 的 Insikt 研究小组的高级经理 David Carver 说,对地下论坛最受欢迎话题的分析表明,被盗凭证和初始访问的出售仍然是网络犯罪市场的主导力量。

他说:“凭证是一项巨大的生意,因为它们对犯罪分子来说一直是成功和有利可图的。所以只要继续存在以规模化方式变现凭证的相对容易的方法,这对犯罪市场来说已经是很长时间的事实了,我不认为这种盗窃类型的驱动力会改变。”

凭证被盗 在暗网出售

十年前,网络犯罪分子专注于窃取有价值的数据或攻击特定的公司,这些公司不仅可以被利用,而且还会向攻击者支付赎金。然而,随着勒索软件的流行和使用加密货币作为支付方式的能力,攻击者已经能够从几乎任何组织的入侵中获利。因此,出售被盗凭证和机会主义的访问已经成为地下经济的主要产品。

多因素失败认证

由于多因素认证(MFA)的存在,网络犯罪分子利用被盗凭证的难度增加了,但攻击者也针对许多类型的 MFA 设计了绕过技术,所以凭证窃取仍然是标准的入侵后战术,而作为服务的访问也继续繁荣,Recorded Future 的 Carver 解释说。

“除非我们对身份的概念或基本方法发生变化,否则犯罪市场不会发生变化,或者至少不会像我们现在看到的那样变化,”他说。

在 2021 年,攻击者专注于寻找有价值的系统并用勒索软件加密它们,以数据加密为影响(T1486)和系统信息发现(T1082)为首的趋势战术、技术和程序被 Recorded Future 揭露。到了 2022 年,网络犯罪分子将重点转移到从本地系统(T1005)收集数据和使用有效账户(T1078)进行访问,根据《2022 年度报告》。

这一趋势表明,访问权限变得越来越重要,因为网络犯罪分子除了勒索软件之外还有更多的选择来变现受损系统,导致窃取信息的功能变得流行,该公司说。根据 Recorded Future 的数据,2022 年与 2021 年相比,勒索软件支付金额减少了近 60%。

“凭证销售在暗网市场上仍然很受欢迎,通常用于账户接管和凭证填充攻击,”报告说。“这种战术随着窃取信息的恶意软件和恶意软件作为服务模式的普及而变得更加复杂。”

Recorded Future 不愿讨论其凭证数字来源的具体细节,但其研究人员相信,他们至少捕获了来自主要信息窃取者的一半以上的活动证据。

“这是你能够接触到的最接近‘裸机’的东西,就多个不同的信息窃取恶意软件活动而言,它们作为部分数据被窃取和暴露了出来,”Carver 说。“所以在某种程度上,我们是通过了解该恶意软件拉取的数据而直接获得这些数据的。”

攻击用户名和密码

随着绕过一些安全控制需要更多关于用户的信息,攻击者在入侵后收集凭证的重点也发生了变化。现在,攻击者除了用户名和密码之外,还可能从浏览器缓存中收集会话令牌、地理信息、浏览器版本信息和其他数据,Carver 说。

“当我们考虑凭证窃取时,我们实际上需要考虑的是一些信息窃取者所寻找的完整的浏览器指纹,”他说。

Carver 说,企业应该假设威胁行为者已经拥有员工的基本凭证,并且多因素认证可能会被绕过。他们还需要确保能够检测到异常的账户行为。

“[企业应该]首先考虑的是身份和访问管理,确保在涉及身份、平台或用户访问任何内部资源的完整范围内,有一个非常健全和清晰的安全计划,”他说。“对我来说,这是在信息窃取者兴起的情况下,实现更安全计划的基本条件。”

推荐阅读:

暗网上的寄生虫:骗子们互相拆台

抖音直播pk礼物三倍反套路:揭秘背后的黑幕和利益链

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20