Η πρόσβαση σε δίκτυα και κρίσιμες υποδομές είναι το πρώτο και πιο σημαντικό βήμα κάθε κυβερνοεπίθεσης. Στο επίκεντρο αυτής της πραγματικότητας βρίσκονται οι Initial Access Brokers (IABs), μεσάζοντες που αποκτούν αρχική πρόσβαση σε εταιρικά συστήματα και στη συνέχεια τη διαθέτουν προς πώληση σε forums του dark web. Με αυτό τον τρόπο, δημιουργούν μια «μαύρη αγορά» πρόσβασης, όπου οποιοσδήποτε απειλητικός παράγοντας μπορεί να αγοράσει έτοιμο σημείο εισόδου σε έναν οργανισμό.
Η πρόσφατη ανάλυση της Rapid7 στα τρία μεγαλύτερα forums (Exploit, XSS, BreachForums) για το δεύτερο εξάμηνο του 2024 αποκαλύπτει τα εξής:
- Το 71,4% των αγγελιών δεν αφορά μόνο ένα σημείο εισόδου αλλά συνοδεύεται και από δικαιώματα προνομίου, ή ακόμη και από πολλαπλά κανάλια πρόσβασης.
- Οι τιμές παραμένουν χαμηλές: ο μέσος όρος είναι 2.726 δολάρια, με τη μεγαλύτερη συγκέντρωση μεταξύ 500 – 1.000 δολαρίων.
- Οι πιο δημοφιλείς μέθοδοι πρόσβασης είναι VPN (23,5%), Domain User (19,9%) και RDP (16,7%) , τεχνολογίες που σχεδιάστηκαν για ασφάλεια αλλά χωρίς MFA γίνονται ευάλωτες.
Με άλλα λόγια, ένας οργανισμός μπορεί να παραβιαστεί για μερικές εκατοντάδες δολάρια, ενώ οι ζημιές που υφίσταται φτάνουν ή και ξεπερνούν τα 5 εκατομμύρια.
Από την αρχική πρόσβαση στην πλήρη παραβίαση
Οι Initial Access Brokers λειτουργούν με επιχειρηματική λογική. Εκμεταλλεύονται αδύναμους ή επαναχρησιμοποιημένους κωδικούς, εκτεθειμένες υπηρεσίες RDP/VPN, αλλά και phishing καμπάνιες για να αποκτήσουν το πρώτο πάτημα σε ένα δίκτυο.
Στη συνέχεια, «πακετάρουν» αυτή την πρόσβαση με διαφορετικά επίπεδα προνομίων και τη διαθέτουν προς πώληση. Ο αγοραστής, απαλλαγμένος από το χρονοβόρο στάδιο της αρχικής διείσδυσης, μπορεί άμεσα να κινηθεί μέσα στο δίκτυο. Έχει τη δυνατότητα να κλιμακώσει δικαιώματα, να εγκαταστήσει κακόβουλο λογισμικό, να εξάγει δεδομένα ή να ανοίξει τον δρόμο για μια επίθεση ransomware. Έτσι, ο οργανισμός δεν κινδυνεύει μόνο από τον broker που πούλησε την πρόσβαση, αλλά και από κάθε επιτιθέμενο που θα την εκμεταλλευτεί στη συνέχεια.
Τι πρέπει να κάνουν οι επιχειρήσεις
Η Rapid7 υπογραμμίζει ότι όταν η πρόσβαση σε έναν οργανισμό εμφανίζεται προς πώληση, η παραβίαση έχει ήδη συμβεί. Για να περιοριστεί ο κίνδυνος, προτείνονται συγκεκριμένες πρακτικές:
- Ενίσχυση ταυτοποίησης: Εφαρμογή και αυστηρή επιβολή MFA σε όλα τα κρίσιμα συστήματα.
- Threat Intelligence: Παρακολούθηση των τάσεων και των μεθόδων που χρησιμοποιούν οι brokers, ώστε να εντοπίζονται έγκαιρα σημάδια παραβίασης.
- Ολοκληρωμένη ανίχνευση και απόκριση: Ενοποίηση δεδομένων από χρήστες, endpoints και συστήματα για ταχύτερη αναγνώριση ύποπτης δραστηριότητας.
- Τακτικοί έλεγχοι & Red Team exercises: Εντοπισμός εκτεθειμένων υπηρεσιών και αδύναμων σημείων πριν αυτά γίνουν εμπόρευμα στο dark web.
Οι Initial Access Brokers έχουν μετατρέψει την πρόσβαση σε «προϊόν» του κυβερνοεγκλήματος. Η PeS Cybersecurity σε συνεργασία με τη Rapid7 παρέχει ολοκληρωμένες λύσεις που βοηθούν τις επιχειρήσεις να θωρακιστούν απέναντι σε αυτούς τους κινδύνους και να κλείσουν αυτές τις πόρτες προτού ανοίξουν στο dark web.
Με εργαλεία όπως το Rapid7 Command Platform για Exposure & Attack Surface Management, τα Insight προϊόντα (InsightVM, InsightCloudSec, InsightAppSec, InsightIDR) και υπηρεσίες Threat Intelligence, Managed Detection & Response (MDR) και Incident Response, οι οργανισμοί αποκτούν πλήρη ορατότητα σε επίπεδο χρηστών και συστημάτων. Έτσι μπορούν να ανιχνεύουν γρήγορα παράνομη πρόσβαση και να αντιδρούν προτού μια παραβίαση κλιμακωθεί σε κρίση.
