Initieel gebruik van Access Broker, verkooppiek van gestolen accounts in cyberaanvallen op cloudservices

Er is een toenemende vraag naar de diensten van Initial Access Brokers (IAB’s) en toegangsreferenties bij cloudgebaseerde cyberaanvallen.

Op dinsdag publiceerde Lacework haar 2021 Cloud Threat Report vol.2, waarin wordt geschetst hoe de hedendaagse cybercriminelen proberen een deel van het werk weg te nemen dat betrokken is bij campagnes tegen cloudserviceproviders.

In de loop van dit jaar heeft het team van het cloudbeveiligingsbedrijf een aantal opmerkelijke trends waargenomen in de cloudruimte, waaronder een toegenomen vraag naar IAB’s.

Initial Access Brokers, zoals gedocumenteerd door KELA, zijn individuen of groepen die erin geslaagd zijn de toegang tot een doelsysteem te beveiligen. Toegang kan zijn verkregen via zwakke, gebroken of gestolen inloggegevens; een insider, of door middel van een kwetsbaarheid.

De gemiddelde prijs van netwerktoegang, zoals geanalyseerd door het team, is momenteel $ 5.400, terwijl de mediaanprijs $ 1.000 is, afhankelijk van het verkregen toegangsniveau en de doelorganisatie.

Ransomwaregroepen hebben interesse getoond in IAB’s en naast deze groepen proberen ook andere bedreigingsactoren die zich richten op het exploiteren van cloudservices IAB’s voor hun eigen doeleinden te rekruteren.

Lacework zegt dat de beheerdersreferenties die door IAB’s zijn verkregen de afgelopen maanden een populaire bron voor aanvallers lijken te zijn geworden. Daarnaast wordt er steeds meer gescand en gepeild naar storagebuckets, online databases, loginplatforms en orkestratiesystemen.

“Wat begon als eenmalige berichten op de markt, blijft escaleren naarmate criminelen het nut van toegang tot cloudservices beginnen te begrijpen en te operationaliseren die verder gaan dan cryptocurrency-mining”, zegt het team.

Het rapport onderzoekt ook de nieuwste criminele activiteiten van TeamTNT tegen cloudservices. Van het TeamTNT-botnet, dat voor het eerst werd gespot in 2020, is bekend dat het cryptocurrency-mining-malware op kwetsbare containers installeert.

TeamTNT is op zoek naar blootgestelde Docker-API’s om kwaadaardige Docker-images in te zetten, en in veel gevallen worden openbare Docker-repository’s overgenomen via gecompromitteerde accounts om malware te hosten.

Een andere opvallende tactiek is de exploitatie van kanarie-tokens. Het team vermoedt dat de legitieme canarytokens.org-service, die wordt gebruikt om gebruikers te waarschuwen wanneer een bron is gebruikt, ook is misbruikt om ransomware-operators op de hoogte te stellen van de uitvoering van malware op het systeem van een slachtoffer.

Bijkomende aandachtspunten zijn onder meer honeypot-gegevens die door het bedrijf zijn verzameld, wat suggereert dat SSH-, SQL-, Docker- en Redis-services het meest worden getarget. Tor wordt vaak gebruikt wanneer AWS-omgevingen het doelwit zijn; de zgrab-scanner wordt gebruikt om Docker-API’s te onderzoeken op zwakke punten; en als het op Redis aankomt, wordt de opdrachtregelinterface INFO-opdracht het meest gebruikt om gegevens over doelsystemen te verzamelen.

Vorige en gerelateerde dekking


Heb je een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0


Posted By : keluaran sidney hari ini