初始访问经纪人经济:深入探讨暗网黑客论坛


购买黑客获得美国一家财富500强化工制造商的域管理员访问权限需要多少费用?多于一杯咖啡但少于一辆高端山地自行车。

数据泄露和勒索软件攻击并非孤立发生,而是由一个复杂的网络犯罪生态系统支持,其中每个人都在完成复杂供应链的特定部分。本文将探讨初级访问经纪人的出现以及他们在网络犯罪生态系统中的更广泛角色。

初级访问经纪人(IAB)是专注于获取企业环境中的特权IT访问权限的网络犯罪分子,然后在专门的暗网论坛上拍卖这些权限。

我们希望更好地了解IAB的运作方式,因此我们做了唯一合理的事情,花了数周的时间将俄语帖子翻译成英语,以进行对企业访问权限经济的深入分析。

初级访问经纪人帖子的解剖

许多IAB帖子都遵循极其相似的格式,形成了一组一致的特征,我们可以衡量这些特征以更好地了解IAB经济。

初始访问经纪人经济:深入探讨暗网黑客论坛
一则来自暗网论坛的IAB帖子,详细列出了他们正在出售的访问权限。

访问类型/访问类型:描述获得的访问类型,最常见的是RDP或VPN访问。

活动/活动:描述受害公司的行业或活动。金融、零售和制造业是三个最常见的目标。

权限/权限:描述获得的权限级别。

收入:描述受害公司的收入,通常从在线公开提供的美国数据提供商处获得。

主机在线:通常描述受害者的主机数量,有时还包括防病毒和安全系统。

开始:拍卖的起始价格。

步骤:出价增量。

速度:立即购买价格。翻译这个并按照这种格式显示

我们已经了解了IAB帖子的基本结构,现在我们可以进一步探索我们三个月的数据。

访问企业IT环境的价格惊人地便宜;在我们数据集中的所有样本中,购买访问企业IT环境的平均价格是4699.31美元。但是,有几个显著的结果使价格失真,所以当我们去除了异常值后,平均价格是1328.23美元。

绝大多数IAB帖子都在一个窄范围内,闪电价格在1000到3000美元之间,用于获取企业访问权限。

然而,偶尔会出现一些极其“高价值”的列表,它们可以访问一些独特而有价值的环境。这可能导致价格高达数万美元,有些列表甚至超过10万美元。

关键点:访问受损的企业IT环境并不昂贵。威胁行为者只需花费几千美元,就可以购买造成重大事件所需的访问级别。

初级访问经纪人与地理位置

我们还发现,大部分的IAB帖子都出售了位于美国、澳大利亚和英国的受害者的访问权限,这表明了对攻击英语国家的强烈偏好。这可能与这些国家的经济实力、网络基础设施和法律制度有关。如果一个企业被黑客入侵,它可能会面临巨大的损失、声誉损害和法律责任。因此,IAB帖子的价格也会受到受害者所在国家的影响,一般来说,英语国家的访问权限更加昂贵。

初始访问经纪人经济:深入探讨暗网黑客论坛
在我们进行研究的几周内,出售访问权限的IAB帖子数量,按国家划分。

美国是最受攻击的国家之一,这并不令人惊讶,但令人震惊的是美国的受害者数量之多。我们分析的帖子中,有超过36%的帖子列出了位于美国的受害者。

关键点:论坛Exploit上的大多数IAB帖子都出售了美国、英国和澳大利亚公司的访问权限。

这些IAB帖子反映了黑客对这些国家的企业IT环境的渗透能力和意图。这些国家的企业可能面临更高的网络安全风险,需要采取更有效的防御措施,以防止数据泄露、勒索软件或其他恶意攻击。

勒索软件和初级访问经纪人帖子的线索

那么,威胁行为者是如何利用从IAB那里获得的访问权限的呢?他们的帖子可以给我们一些提示。最常见的出售的访问类型是具有管理员权限的远程桌面协议(RDP)访问,这是勒索软件攻击的一个关键途径。

有趣的是,一些拍卖实际上指出了受害组织缺乏备份和恢复解决方案,或者IAB也可以访问备份系统。这很可能是一个关键的指示,表明卖家期望访问权限被用于勒索软件。

显示包含RDP访问权限的IAB帖子

在我们发现的少数几个明确列出了备份和恢复系统访问权限的IAB帖子中,闪电价格明显高于没有这种权限的帖子。

关键点:IAB拍卖很可能是勒索软件团伙和附属者获取企业IT访问权限的主要来源。这些团伙可以利用IAB提供的访问权限,快速地在企业网络内部部署勒索软件,甚至完全删除企业的备份数据。这样,他们就可以向受害者索要高额的赎金,而不必花费太多时间和精力在寻找和攻破网络上。

IAB(非法访问经纪人)是企业信息安全团队面临的一个重大威胁。IAB有直接的经济动机,通过入侵设备、网络和服务,然后在专门的暗网市场和论坛上转卖。在Flare,我们建议您采取以下措施:

建立强大的监测能力,关注主要的暗网网络犯罪论坛和市场,如BreachForums、Exploit、XSS和Russian Market。 监测IAB论坛,寻找您的组织可能被入侵,或者您的第三方合作伙伴可能被入侵的迹象。 监测可能包含企业凭证和活动会话cookie的窃取器日志。Flare的研究发现,在Telegram(又称飞机或电报)、Russian Market和Genesis Market上有数十万条窃取器日志被分发,其中包含了对企业SaaS应用程序的访问。

使用Flare监控网络犯罪生态系统

Flare可以监测非法的论坛和市场,发现任何涉及我们客户的IAB(非法访问经纪人)的活动。

Flare的易用的SaaS平台可以自动检测清网和暗网以及非法的Telegram频道上的窃取器日志。

注册免费试用,了解Flare如何在30分钟内提升您的安全计划的网络犯罪监测能力。

推荐阅读:

Styx Marketplace 提供金融网络犯罪的中心

黑灰产监控与防御

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20