Analyse van de markt voor initial access

Onze deskundigen bestudeerden de schaduwmarkt voor initial access tot bedrijfsinfrastructuur.

Onze deskundigen bestudeerden de schaduwmarkt voor initial access tot bedrijfsinfrastructuur.

Wanneer de media melding maken van een bedrijf dat is aangevallen door ransomware, stellen veel mensen zich voor dat sluwe hackers eerst gevaarlijke malware hebben geschreven, vervolgens lang en hard hebben gezocht naar een manier om het bedrijf te hacken, en ten slotte de vertrouwelijke gegevens hebben versleuteld. Daarom zijn sommige bedrijfseigenaren er nog steeds van overtuigd dat hun bedrijf niet interessant genoeg is voor aanvallers om er zoveel middelen aan te besteden om het te kunnen hacken.

In werkelijkheid ligt dit heel anders. Een moderne aanvaller schrijft de malware in feite niet zelf, maar huurt deze, en hij besteedt geen middelen aan het hacken, maar begeeft zich eenvoudigweg op de schaduwmarkt van initial access brokers (IAB’s). Deskundigen van onze Digital Footprint Intelligence-dienst besloten uit te zoeken hoeveel geld er in deze markt omgaat wanneer cybercriminelen toegang tot bedrijfsinfrastructuur kopen en verkopen.

Wat kost toegang?

Dus hoeveel geven aanvallers uit om toegang tot uw infrastructuur te kopen? Dit hangt af van vele factoren, maar de belangrijkste zijn de opbrengsten van uw onderneming. Na analyse van ongeveer tweehonderd advertenties op het darknet, kwamen onze deskundigen tot de volgende conclusies:

  • de meeste advertenties bieden toegang tot kleine bedrijven;
  • bijna de helft van de advertenties bieden toegang voor minder dan $ 1000;
  • gevallen waar de toegang voor meer dan $ 5000 word verkocht zijn vrij zeldzaam;
  • de gemiddelde kosten voor toegang tot grote bedrijven liggen tussen de $ 2000 en $ 4000.

Dat zijn nou niet bepaald enorme geldbedragen. Maar ransomware-exploitanten verwachten veel grotere bedragen te kunnen verdienen met hun chantagepogingen, dus zijn ze op zijn minst bereid zoveel uit te geven voor initial access. Het lijkt de marktprijs te zijn die tot stand is gekomen door organische vraag en aanbod en de algemeen bekende koopkracht.

Wat is er zoal te koop?

Aanvallers bieden verschillende soorten toegang aan. Soms is het informatie over een kwetsbaarheid die kan worden misbruikt om toegang te krijgen. Andere keren zijn het inloggegevens voor toegang tot Citrix of het hostingpaneel van de site. Maar in de overgrote meerderheid van de gevallen (in meer dan 75% van de advertenties) bieden ze een variant van toegang via RDP aan (soms in combinatie met een VPN). Deze mogelijkheid van toegang op afstand tot de infrastructuur van de onderneming moet dan ook met meer aandacht worden behandeld.

Waar krijgen de schurken hun toegang?

Er zijn tal van mogelijkheden om initial access te verkrijgen. Soms gebruiken cybercriminelen de eenvoudigste manier: wachtwoord-mining. Maar meestal sturen ze phishing-e-mails naar werknemers, of e-mails met schadelijke bijlagen (spyware, of bijvoorbeeld stealers, die automatisch referenties, autorisatietokens, cookies, enzovoort verzamelen van geïnfecteerde apparaten). Soms maken aanvallers ook gebruik van bekende kwetsbaarheden in software voordat die door beheerders zijn gepatcht.

Gedetailleerde resultaten van het onderzoek, met voorbeelden van echte advertenties voor initial access, vindt u in het verslag op de Securelist-website.

Hoe blijft u beschermd?

Aangezien het meestal gaat om toegang op afstand tot de infrastructuur van een bedrijf via RDP, moet dit in de eerste plaats worden beschermd. Onze experts hebben hiervoor de volgende aanbevelingen:

  • organiseer RDP-toegang alleen via VPN;
  • gebruik sterke wachtwoorden;
  • gebruik authenticatie op netwerkniveau (indien mogelijk);
  • gebruik tweestapsverificatie voor alle kritieke diensten.

Om de kans op uitlekken van wachtwoorden via phishing te verkleinen, is het ook aan te raden om betrouwbare beveiligingsoplossingen met een anti-phishing-engine zowel op de apparaten van de werknemers als op het niveau van de mailgateway. En om het zekere voor het onzekere te nemen, moet u het cyberbewustzijn van uw personeel periodiek op peil houden.

Bovendien is het heel nuttig om te weten of iemand al manieren bespreekt om toegang te krijgen tot de infrastructuur van uw bedrijf op het darknet, dus het monitoren van dergelijke activiteiten is ook aan te raden. Dit is het soort monitoring dat onze Digital Footprint Intelligence-dienst doet.

Tips