Οι χειριστές των ransomware στρέφονται τώρα στους πωλητές network access, για να κάνουν πιο εύκολη την διαδικασία της μόλυνσης – την δουλειά τους ουσιαστικά.
Τη Δευτέρα, η ομάδα της Cyber Threat Intelligence (CTI) της Accenture κυκλοφόρησε νέα έρευνα σχετικά με τις αναδυόμενες τάσεις στον κυβερνοχώρο, συμπεριλαμβανομένης μιας έρευνας για τη φύση των σχέσεων μεταξύ των χειριστών ransomware και των πωλητών exploit.
Σύμφωνα με τους ανώτερους αναλυτές ασφαλείας της Accenture, Thomas Willkan και Paul Mansfield, η αγορά των network access points και των ήδη παραβιασμένων τρόπων διείσδυσης σε ένα στοχευμένο σύστημα αυξάνονται σε δημοτικότητα, συμπεριλαμβανομένης της αγοράς κλεμμένων credentials και τρωτών σημείων.
Κατά τη διάρκεια επιθέσεων, οι χειριστές των ransomware πρέπει πρώτα να βρουν ένα σημείο εισόδου σε ένα δίκτυο. Οι παραβιασμένοι λογαριασμοί υπαλλήλων, οι εσφαλμένες διαμορφώσεις και τα ευάλωτα endpoints μπορούν να χρησιμοποιηθούν για την ανάπτυξη αυτής της συγκεκριμένης οικογένειας κακόβουλου κώδικα, οδηγώντας στην κρυπτογράφηση αρχείων, δίσκων και στην ζήτηση πληρωμής λύτρων σε αντάλλαγμα με ένα κλειδί αποκρυπτογράφησης.
Είναι δύσκολο να εκτιμηθεί πόσες επιτυχείς επιθέσεις ransomware έχουν πραγματοποιηθεί φέτος. Η Europol πιστεύει ότι αυτές οι επιθέσεις συχνά δεν δημοσιοποιούνται, με μόνο τα σημαντικά περιστατικά να γίνονται γνωστά. Οι ομάδες ransomware επιδιώκουν να μειώσουν το αρχικό στάδιο πρόσβασης μιας επίθεσης, επιταχύνοντας τη διαδικασία – και ενδεχομένως την ευκαιρία για παράνομα έσοδα.
Οι πωλητές network access αναπτύσσουν συνήθως μια αρχική ευπάθεια και στη συνέχεια πωλούν τη δουλειά τους σε dark forum σε τιμές που μπορεί να ξεκινήσουν από τα 300 και να φτάσουν τα 10.000 $.
Η πλειονότητα των σημείων πρόσβασης στο δίκτυο θα περιλαμβάνει τον στόχο ανά κλάδο και τον τύπο πρόσβασης, που κυμαίνεται από το Citrix έως το Remote Desktop Protocol (RDP) και μπορεί επίσης να τεκμηριώσει τον αριθμό των συστημάτων που εντοπίστηκαν στο δίκτυο.
Πολλοί από τους πωλητές δραστηριοποιούνται στα ίδια dark forum που “κυκλοφορούν” και οι ομάδες ransomware, συμπεριλαμβανομένων των Maze, NetWalker, Sodinokibi, Lockbit και Avaddon.
