Ny forskning viser, at kriminelle bander fokuserer mere på at erhverve stjålne legitimationsoplysninger for at omgå sikkerhedsforanstaltninger.
Cyberkriminalitetsundergrunden har længe fungeret som et åbent marked, hvor sælgere af produkter og tjenester er parret med købere og entreprenører. En af de mest værdifulde varer på dette marked er stjålne legitimationsoplysninger, da de kan give angribere adgang til netværk, databaser og andre aktiver, der ejes af organisationer. Det er ingen overraskelse at se cyberkriminelle fokuseret på denne værdifulde vare.
“Sidste år blev der rapporteret 4.518 databrud,” sagde forskere fra Flashpoint i en ny rapport. “Hackere afslørede eller stjal 22.62 milliarder legitimationsoplysninger og personlige data, lige fra konto- og økonomiske oplysninger til e-mails og personnumre.” Over 60% af disse legitimationsoplysninger og andre detaljer blev stjålet fra organisationer i informationssektoren, og disse organisationer er generelt vært for data for kunder fra mange andre brancher.
Flashpoint, der har specialiseret sig i cybertrusselsefterretninger, overvåger konstant cyberkriminelle markeder, fora og andre kommunikationskanaler. Til dato inkluderer dens database over trusselsinformation 575 millioner indlæg på ulovlige fora, 3,6 milliarder chatbeskeder, 39 milliarder kompromitterede legitimationsoplysninger, 85 milliarder unikke e-mail / adgangskodeoplysninger og over 2 milliarder kreditkortnumre, der blev stjålet og derefter delt blandt cyberkriminelle.
“Spredningen af ulovligt indhentede data giver hackere rigelige muligheder for at omgå organisatoriske sikkerhedsforanstaltninger og kontroller – hvilket giver ransomware-grupper som LockBit mulighed for at opbevare data til løsesum eller sælge eller udsætte dem på ulovlige markeder.”
Ransomwares servicebaserede modeller
De fleste ransomware-bander opererer på en servicebaseret model. Gruppen betaler entreprenører kendt som tilknyttede virksomheder for at bryde ind i netværk, få administrativ adgang og implementere deres ransomware-program for en stor nedskæring af eventuelle løsesumbetalinger, som ofre foretager. Mange af disse tilknyttede virksomheder køber igen adgang til netværk fra andre cyberkriminelle kendt som udbydere af indledende adgang, og disse udbydere er ofte afhængige af stjålne legitimationsoplysninger for at få denne adgang, især legitimationsoplysninger til fjernadgangstjenester såsom VPN’er og Remote Desktop Protocol (RDP).
Den mest succesrige ransomware-gruppe i 2022 var LockBit, hvis aktivitet steg, efter at en anden berygtet ransomware-bande kaldet Conti lukkede sine operationer i maj. LockBit formåede at tiltrække mange af Contis tidligere samarbejdspartnere ved at modernisere sit tilknyttede program med bedre tilbud.
Sidste år registrerede Flashpoint 3.164 ofre, som ransomware-bander opførte offentligt, en stigning på 7% i forhold til året før. Baseret på tendenser set i 2023 estimerer virksomheden, at antallet af ofre i år er på vej til at overstige 2022-tallet.
“I modsætning til de fleste moderne organisatoriske sikkerhedsteams opererer hackere ikke i siloer og samler i stedet ressourcer, mens de lærer af hinanden,” sagde virksomheden. “Flashpoint finder ud af, at dygtige hackere og ransomware-bander i stigende grad deler kode ud over taktik, værktøjer og procedurer – stort set takket være spredningen af ulovlige markeder.”
Ligesom ransomware-bander kommer og går i, hvad der virker som en uendelig cyklus af rebranding, gør ulovlige markeder det også. Mens der var flere retshåndhævelsesfjernelser eller selvnedlukninger af store og langvarige cyberkriminalitetsmarkeder – SSNDOB, Raid Forums og Hydra var nogle bemærkelsesværdige – dukkede andre hurtigt op for at tage deres plads. Cyberkriminelle opretholder normalt alternative kommunikationskanaler som Telegram, hvor de kan holde hinanden informeret og annoncere nye alternative markeder, når en forsvinder. Faktisk registrerede Flashpoint sidste år 190 nye ulovlige markeder. Et forum, der blev annonceret som erstatning for Raid Forums, steg fra 1,500 medlemmer i marts 2022 til over 190,000 i november.
“Ulovlige markeder påvirker direkte databrud og cyberangreb,” sagde Flashpoint. “Svindlere, mæglere med indledende adgang, ransomware-grupper og avancerede vedvarende hackersgrupper (APT) henvender sig til disse markeder, butikker og fora for at handle med stjålne legitimationsoplysninger og personlige optegnelser, som udnyttes i en række ulovlige aktiviteter.”
Hvordan får angribere legitimationsoplysninger?
Databrud er en af de bedste kilder til udsatte legitimationsoplysninger, men mens den største årsag til individuelle databrud er hacking, er denne metode kun ansvarlig for 28% af de lækkede legitimationsoplysninger og optegnelser, der finder vej på underjordiske markeder. Over 71% af legitimationsoplysninger og personlige optegnelser blev lækket fra kun 5% af databrud og var resultatet af fejlkonfigurationer af databaser og tjenester.
“Disse data viser, at når organisationer ansætter leverandører til at udføre disse tjenester på deres vegne, efterlader de samme leverandører følsomme kunde- og medarbejderdata ude i det åbne,” sagde Flashpoint-forskerne. “Som sådan er det afgørende for virksomhedsledere at have et aktivt leverandørrisikostyringsprogram eller for at sikre, at deres digitale forsyningskæde implementerer effektive sikkerhedskontroller.”
Phishing er en anden populær måde at stjæle legitimationsoplysninger fra brugere, og 2022 var et rekordår for phishing-sider optaget af Flashpoint. Denne aktivitet er også blevet kommercialiseret med phishing-kits, der rutinemæssigt er tilgængelige for køb, og nye teknikker, der udvikles. Et eksempel er EvilProxy, en phishing-as-a-service-platform, der bruger en person-i-midten-tilgang til at opfange loginoplysninger samt multifaktorautentificeringstokens.
Malware-programmer, især informationsstjælere, der kan udtrække loginoplysninger, der er gemt i browsere og andre applikationer, er også i høj efterspørgsel på underjordiske fora. Sammen med eksisterende kommercielle stjælere som Raccoon, RedLine og Vidar kom nye sådanne programmer på markedet i 2022, herunder AcridRain og TyphonStealer.
“Stjælere har været et produktivt værktøj i 2022, der er ansvarlig for at forsyne logbutikker med enorme mængder kompromitterede legitimationsoplysninger,” sagde Flashpoint-forskerne. “Brugen af stjælere har været knyttet til flere højt profilerede overtrædelser – især af dataafpresningsbanden LAPSUS $.”
Endelig er udnyttelse af kendte sårbarheder også en varm vare, og de kan føre til databrud. Flashpoint-analytikere registrerede 766 tilfælde, hvor cyberkriminelle diskuterede sårbarheder ved CVE-identifikator på underjordiske fora med priser for pålidelige udnyttelser, der hentede mellem $ 2,000 og $ 4,000, men gik op til $ 10,000 for mere avancerede. De mest nævnte våbensårbarheder sidste år var CVE-2021-35587, CVE-2021-39144, CVE-2022-21497, CVE-2022-22960, CVE-2022-24112, CVE-2022-24706, CVE-2022-31675, CVE-2022-36804, CVE-2022-40684 og CVE-2022-41045.
Kilde: CSO
Foto: Pexels