Hackers ισχυρίζονται ότι παραβίασαν το δίκτυο ενός μεγάλου οίκου δημοπρασιών και πρόσφεραν πρόσβαση (IAB) σε όποιον ήταν πρόθυμος να πληρώσει 120.000 δολάρια.
Δείτε επίσης: Anonfiles: Κλείνει λόγω συντριπτικής κατάχρησης
Οι ερευνητές ασφαλείας βρήκαν την αγγελία σε ένα φόρουμ hacker που είναι γνωστό για την παροχή μιας αγοράς για αρχικούς διαμεσολαβητές πρόσβασης (IABs), αφού ανέλυσαν ένα δείγμα 72 αναρτήσεων.
Ακριβή πρόσβαση στο δίκτυο
Οι ερευνητές της εταιρείας πληροφοριών απειλών Flare εξέτασαν τρεις μήνες προσφορών IAB στο ρωσόφωνο φόρουμ hacker Exploit για να κατανοήσουν καλύτερα ποιον στοχεύουν, τις τιμές που ζητούν και ποιοι είναι οι πιο ενεργοί.
Από την 1η Μαΐου έως τις 27 Ιουλίου, οι χρηματιστές διαφήμισαν πρόσβαση σε περισσότερες από 100 εταιρείες σε 18 κλάδους, όπως η άμυνα, οι τηλεπικοινωνίες, η υγειονομική περίθαλψη και οι χρηματοπιστωτικές υπηρεσίες.
Ο Eric Clay, αντιπρόεδρος μάρκετινγκ της Flare, αναφέρει σε μια έκθεση που μοιράστηκε με το BleepingComputer ότι οι επιθέσεις εναντίον εταιρειών στις ΗΠΑ, την Αυστραλία και τις εταιρείες του Ηνωμένου Βασιλείου ήταν οι πιο συχνές – δεν αποτελεί έκπληξη δεδομένου του υψηλού ακαθάριστου εγχώριου προϊόντος (ΑΕΠ) τους.
Οι οργανισμοί στους τομείς των χρηματοοικονομικών και του λιανικού εμπορίου αποτέλεσαν τους περισσότερους στόχους, ακολουθούμενοι από τις κατασκευές και τη μεταποίηση, σημειώνει ο Clay στην έκθεση.
Ανάλογα με το προφίλ της εταιρείας και τη χώρα, οι τιμές ξεκινούσαν από 150 δολάρια και οι περισσότερες από αυτές αφορούσαν την αρχική πρόσβαση μέσω VPN ή RDP. Περίπου το ένα τρίτο των καταχωρίσεων ήταν κάτω από 1.000 δολάρια.
Ωστόσο, το πιο ακριβό στοιχείο προς πώληση ήταν 120.000 δολάρια (4 BTC τότε) για πρόσβαση στο δίκτυο ενός οίκου δημοπρασιών πολλών δισεκατομμυρίων δολαρίων.
Οι hackers δεν έδωσαν πολλές λεπτομέρειες, αλλά είπαν ότι είχαν προνομιακή πρόσβαση στο backend σε πολλές δημοπρασίες υψηλού επιπέδου (π.χ. στον πίνακα διαχείρισης), όπως τα βιολιά Stradivarius ή συλλεκτικά αυτοκίνητα.
Πολλές άλλες ακριβές προσφορές αφορούσαν την αρχική πρόσβαση σε εταιρείες στις ΗΠΑ και στο Ηνωμένο Βασίλειο, οι προσφορές αρχικής πρόσβασης αφορούσαν οργανισμούς κρίσιμων υποδομών, όπως η υγειονομική περίθαλψη, οι χρηματοπιστωτικές υπηρεσίες και η βιομηχανία.
Προνόμια πρόσβασης και γεωγραφία
Οι περισσότερες από τις αναρτήσεις ανέφεραν τη γεωγραφία του θύματος και οι ερευνητές ήταν σε θέση να δημιουργήσουν έναν χάρτη που δείχνει 35 υποτιθέμενες οντότητες που έχουν υποκλαπεί εκτός των ΗΠΑ.
Οι IAB στο φόρουμ Exploit εξακολουθούν να αποφεύγουν στόχους στη Ρωσία και στις χώρες της Κοινοπολιτείας Ανεξάρτητων Κρατών (ΚΑΚ), αλλά έκπληξη αποτελεί ο μικρός αριθμός στην Κίνα, η οποία έχει το δεύτερο υψηλότερο ΑΕΠ στον κόσμο.
Πρόταση: CISA: Προειδοποιεί για το κρίσιμο ελάττωμα του Citrix ShareFile
Ο Clay δήλωσε στο BleepingComputer ότι ενώ οι IABs συνήθως αποφεύγουν να στοχεύουν την Κίνα, υπήρξε μία καταχώριση για πρόσβαση στο δίκτυο μιας κινεζικής εταιρείας τεχνητής νοημοσύνης.
Ο πιο συχνός τύπος πρόσβασης που παρατηρήθηκε στις δημοσιεύσεις ήταν μέσω RDP (σε 32 δημοσιεύσεις) ή VPN (σε 11 δημοσιεύσεις), οι οποίες μαζί αντιπροσώπευαν το 60% των καταχωρίσεων στο σύνολο δεδομένων.
Το επίπεδο των προνομίων που σχετίζονταν με τους λογαριασμούς πρόσβασης κυμαινόταν από διαχειριστή cloud (14 περιπτώσεις) έως τοπικό διαχειριστή (5 περιπτώσεις) και χρήστη domain (2 περιπτώσεις).
Ως δευτερεύουσα σημείωση, ο Clay δήλωσε στο BleepingComputer ότι ένας διαμεσολαβητής προσέφερε “προνομιακή πρόσβαση σε έναν ραδιοφωνικό σταθμό των ΗΠΑ”, η οποία, σύμφωνα με τους hackers, θα μπορούσε να χρησιμοποιηθεί για την “εκτέλεση διαφημίσεων”.
Ορισμένοι IAB διαφήμιζαν πρόσβαση σε συστήματα δημιουργίας αντιγράφων ασφαλείας και ανάκτησης μαζί με πρόσβαση στο εταιρικό δίκτυο πληροφορικής, το οποίο θα μπορούσε να εξυπηρετήσει επιχειρήσεις ransomware.
Συνήθως, η πρόσβαση σε εταιρικά δίκτυα προέρχεται από κακόβουλο λογισμικό κλοπής πληροφοριών, αλλά ορισμένοι φορείς δήλωσαν σαφώς ότι χρησιμοποίησαν διαφορετική μέθοδο, πιθανότατα κάποιο άλλο είδος κακόβουλου λογισμικού, phishing ή εκμετάλλευση ευπάθειας.
Ανεξάρτητα από τη μέθοδο που χρησιμοποίησαν οι διαμεσολαβητές αρχικής πρόσβασης για να αποκτήσουν πρόσβαση σε ένα δίκτυο, οι εταιρείες θα πρέπει τουλάχιστον να εφαρμόζουν μηχανισμούς παρακολούθησης για κακόβουλο λογισμικό κλοπής πληροφοριών, μια τακτική πηγή εταιρικών διαπιστευτηρίων.
Η παρακολούθηση των φόρουμ όπου οι μεσίτες αρχικής πρόσβασης διαφημίζουν τις προσφορές τους μπορεί επίσης να βοηθήσει τους οργανισμούς να πάρουν μια ιδέα για πιθανή παραβίαση, ακόμη και αν το όνομα του θύματος είναι ανώνυμο.
Ο συνδυασμός δεδομένων όπως η γεωγραφία, τα έσοδα, ο κλάδος και ο τύπος πρόσβασης είναι αρκετά στοιχεία για να ξεκινήσει μια έρευνα σχετικά με μια πιθανή παραβίαση.
Αυτή η διαδικασία μπορεί επίσης να έχει θετικές παρενέργειες, όπως η αποκάλυψη περιοχών που χρειάζονται ισχυρότερη ασφάλεια ή ο εντοπισμός συσκευών, υπηρεσιών και λογαριασμών που θα μπορούσαν να αποτελέσουν κίνδυνο.
Διαβάστε επίσης: Ivanti Avalanche: Επηρεάζεται από κρίσιμα pre-auth buffer overflows στοίβας
πηγή πληροφοριών:bleepincomputer.com
 σε όποιον ήταν πρόθυμος){kind=link}