随着年关的临近, 现在是时候再次关注上一季度的初始访问代理(IAB)活动了. 为那些没赶上美高梅集团app下载的 研究论文 2021年3月上映, IABs扮演中间人的角色,通过识别脆弱的组织,并向出价最高者出售获得这些组织的权限. 这些交易通常发生在暗网论坛上, IABs的使用与勒索软件活动的急剧增加相吻合, 与几个以使用IABs服务为渠道来促进初始访问而闻名的组织合作. 关于2021年第三季度的勒索软件活动,请咨询美高梅集团app下载的 神奇的博客 关于这个话题.
2021年第三季度, RDP和VPN仍然是IAB的首选访问方式, 这几乎肯定会在第四季度延续下去. Prices across the various accesses were mostly consistent with what had been observed in previous quarters; for VPN the average price had raised from $1446 to $1869, 而RDP则从2219美元跌至1902美元. The most commonly targeted sectors were also similar to what had been observed in Q2; retail, 技术, 以及工业产品 & 服务行业是IAB名单中最常提及的行业.
本季度的事件对IAB活动有什么影响?
可以说,第三季度最值得注意的事件是 针对Kaseya的供应链攻击. 在该实例, REvil勒索软件小组专门针对该软件供应商,原因是Kaseya访问了其他受管理的服务提供商. 通过牺牲这个产品, 据报道,REvil获得了访问数千个MSPs客户设备的特权, 因为IT监控软件通常需要高度的信任. 这一事件为网络犯罪社区中的许多论坛管理员提供了进一步的弹药 想要禁止他们网站上的勒索软件活动 ——这一事件最初发生在2021年5月的一次黑暗面攻击之后 殖民地的管道.
It is debatable how strictly these rules surrounding ransomware discussion are being moderated; commercial activities are banned, 但仍允许进行一般性讨论. 一般, 演员们仍在讨论勒索软件,虽然他们偶尔会被其他用户喊出来, 审核员通常对这些回应反应冷淡. 尽管如此,考虑到这些限制,人们正在构建替代论坛. 俄罗斯网络犯罪论坛XSS上的一篇帖子强调了这些地点,嘲笑另一名用户违反了关于勒索软件讨论的非正式规则, 说“哈哈,你太得寸进了, 美高梅集团app下载为您准备了一个特别的论坛.(俄语翻译).
进入现场,RAMP
RAMP (Ransom Anon Mark Place)是一个最近重新启动的俄语网络犯罪论坛,该论坛在2021年7月遭受一系列DDoS攻击后进行了修改. 因为重新启动, 几个勒索软件组织已经加入了该网站, 包括REvil和LockBit RaaS联盟计划的代表, 谁已经在论坛上广告,并试图招募新的附属机构. 初始访问代理现在也发布到RAMP上,发布各种访问.
在撰写本文时,该论坛仍处于起步阶段,但已显示出增长的良好迹象. 这个论坛通常会吸引大量的客户, 用户要么是知名的iab,要么是勒索软件操作的官方代表. 新用户不断加入论坛, 尽管该论坛的内容数量仍不及其他知名论坛, 在接下来的几个月里,可能会有大量的新材料涌现出来.
美国制裁勒索软件加密钱包和账户:
2021年9月, 美国政府还发布了一份与他们最近打击勒索软件活动有关的报告, 通过发行 对加密货币账户的制裁由参与勒索软件活动的个人拥有. 报告称,这些制裁将“针对特定目标”,而不是整个加密行业. 《美高梅》还报道称,新的反洗钱法规可能会生效,禁止非法使用加密货币支付, 比如支付赎金. 虽然拜登政府计划如何实施这些制裁的具体细节尚不清楚, 如果有效, it could have an effect on the cybercriminal ecosystem; If ransomware actors are forced to adapt their payment methods, 他们的伙伴也可能感受到这种压力, 包括iab.
RDP和VPN继续代表着访问的选择:
在2021年第三季度, RDP和VPN访问仍然是iab提供的最流行的访问类型. 美高梅集团app下载在2021年第一季度和第二季度观察到相同的模式, 而且几乎肯定会持续到2022年. 这可能是由于COVID-19大流行增加了这两种技术的使用,并为购买VPN或RDP访问的行为者提供了机会. 不安全的RDP通常是由于RDP与可能被暴力强制使用的弱凭证一起使用, 或不受限制的端口访问. RDP连接几乎总是发生在端口3389*, 攻击者可以假定这是正在使用的端口,并针对它进行中间人尝试, 在其他的攻击. 用这种方式保护你的RDP实例就像在晚上把门打开一样, 这是自找麻烦.
在各种访问类型的价格方面,出现了一些令人惊讶的波动. RDP、VPN和Citrix的价格基本保持不变,但也有一些重大变化. VPN-RDP was significantly more expensive in Q3 than the last quarter; this access type refers to the use of VPN access to a victim’s RDP dedicated server. 实际上,这种访问类型可能代表访问目标网络的一种更安全的方法, 结果就是, 对感兴趣的演员更有吸引力.
类似的情况,美国公司仍然是最常见的目标:
所以没有什么好猜的, 在第三季度,总部位于美国的公司仍然是最常见的目标, 其次是英国, 澳大利亚, 西班牙, 和马来西亚. 造成这一现象的原因很可能是美国境内运营的易受影响的公共和私营企业数量的综合, 和民族主义的司机. 虽然冷战早已结束, 俄罗斯和独联体(CIS)的许多网络犯罪分子, i.e. 前苏联仍然认为美国是他们的主要对手. 这个勒索软件组织最近发布的一篇帖子突显了这种情绪, 是谁在一份杂乱无章的声明中强调了一系列反美言论要点,讨论了与REvil组织有关的活动.
而这是由勒索软件组编写的, 虽然它们并不相同,但它们有着内在的联系——iab很可能持有同样的信念, 谁可能居住在相似的地区,与相似的群体工作. 这些趋势, 而不是对IAB活动的主要影响, 对哪些地区可能成为目标有影响吗.
内务部最常针对的零售行业:
已经连续两个季度了, 零售业是IAB活动最常见的目标行业, 其次是技术, 工业产品 & 服务业和金融服务业. 零售可能特别容易受到IAB活动的影响的一个原因是电子商务网站的使用. 2019冠状病毒病大流行使许多行业开始优先考虑在线业务. 而零售业在很多方面可能在其他行业中领先, 一些零售公司可能对如此迅速的变化毫无准备. 匆忙建立基础设施, 包括电子商务网站, 可以在没有充分考虑安全的情况下建造吗. 零售也可能成为各种威胁行为者的一个有吸引力的目标. 参与金融欺诈的行为者可以利用零售供应商存储的过多的金融个人身份信息(PII), 虽然勒索软件运营商可以瞄准零售商,因为他们知道可能会收取一大笔赎金.
工业产品在第三季度也占了很高的比重 & 服务及施工 & 材料行业. Companies within these two sectors are commonly targeted due to their sensitivity to prolonged outages; manufacturers often need to be working 24/7. 即使是最轻微的中断也会严重影响目标的供应链. 这个行业的许多公司——以及建筑和农业等其他行业——依靠技术来提供自动化. 没有这项技术,生产力就会停滞不前. 这使得这些部门对勒索行为者很有吸引力,这反过来又影响了内务部的活动.
内务部会留下来的
iab在为各种威胁行动者提供访问便利方面发挥着越来越重要的作用. 通过使用iab, 威胁行动者可以最大限度地缩短识别和利用感兴趣的目标所需的时间,并通过避免与网络杀伤链的早期阶段相关的许多“噪音”步骤来混淆他们的身份. 通常, 与IAB活动相关的价格很便宜,而且随着更多经纪商进一步饱和市场,价格可能会变得更便宜. 几乎可以肯定,RDP和VPN将继续代表访问的选择, 由于灵活性和能力提供给买家. 让内部或外包的网络威胁情报团队监视地面, 深, 暗网在识别相关列表和观察访问趋势方面大有帮助. 如果提供及时, 有关, 和可操作的情报, 防御者可以对最严重的威胁优先进行安全努力. 如果您希望查看您的暴露程度,并访问与您的行业和地理位置相关的威胁行动者的威胁情报库,并建议采取缓解措施, 免费试用探照灯 7天 在这里.