Не винаги е необходимо нападателите сами да нарушават мрежите на жертвите си, за да внедряват зловреден софтуер, тъй като има много професионални натрапници, предлагащи услугите си на подземни пазари.
Предлагат се различни нива на достъп срещу суми, започващи от 1000 долара и увеличаващи се в зависимост от това колко дълбоко проникване трябва да осъществят хакерите.
Всички видове достъп са на сергията
Предприятия от различни сектори бяха компрометирани, като доставчиците на услуги (MSP) са най-привлекателните, защото те могат да бъдат плацдарм за по-голям набор от жертви.
Джим Уолтър, специалист по киберсигурност, казва, че нарушаването на MSP може да помогне на нападателите да поддържат незабележимо присъствие в мрежата и да получат много време. Той казва:
„Комуникационните канали между MSP и техните клиенти често се осъществяват в надеждни и частни мрежи, като границите между тях се превръщат в някаква сива зона. Трафикът може да остане „вътрешен“ за инфраструктурата на MSP, следователно да не е податлив на традиционните контроли, намиращи се по периметъра (с лице към Интернет, IDS, филтри за съдържание по имейл и други подобни).“
Доставчик на услуги със 100 клиента се счита за средно голям от мрежов натрапник, който иска да продава идентификационни данни за администраторски акаунти, които могат да бъдат използвани за получаване на потребителските имена и пароли, които клиентите му да използват за влизане в платформата на MSP.
„Цената е твърда 700 долара“, се казва в публикацията на подземен пазар, като се добавя, че рекламата присъства на други пазари и се определя 48-часов срок за плащането.
Това не е изолиран случай. В друга публикация от 6 януари хакер продаваше достъп до неназована цел, описана като „голяма данъчна компания в САЩ“ във Fortune 500.
Хакерът поиска 3500 долара, за да даде ключовете от вътрешната мрежа, откъдето нападателите могат да получат достъп до повече от 500 000 клиенти на компанията чрез отдалечена връзка. Получаването на достъп до индивидуален клиент също е в офертата, срещу 1000 долара.
Уолтър казва, че в съобщенията е виждал рекламиран достъп до различни субекти както в публичния частен сектор, включително испански MSP, производител на електроника и американска комунална компания.
Всички сертификати, принадлежащи на изпълнителни директори, достъп до пощенски сървъри, до портали за управление на съдържанието, използвани от болници, адвокатски кантори и училища, или привилегии на root ниво, които отварят всички врати, се продават.
Други съобщения, наблюдавани от изследователя, продават директен достъп до повече от 20 системи за продажба (PoS) за 2000 долара на терминал. Хакерът също се хвали, че може да хакне и наруши мрежата на компанията, тъй като PoS са свързани с нея.
Тази търговия се случва на терена на киберпрестъпни форуми, които не се крият в сенките на тъмната мрежа. Някои от тях са затворени за обществен изглед, но входните данни могат да бъдат закупени с малко усилия. Този вид видимост улеснява по-малко квалифицираните нападатели да разпространят своя злонамерен софтуер, тъй като те плащат за достъп до мрежата на жертвата, вместо да предвиждат методи за проникване и да полагат усилия за борба със защитите.
Съвети за защита
Уолтър изброява някои прости стъпки, които компаниите могат да предприемат, за да намалят риска от това натрапник да влезе овладее мрежата. Те включват следното:
– мултифакторна автентификация
– мрежова сегрегация
– стратегически поставени защитни стени и системи за откриване на проникване (IDS)
– следене на трафика към и от услугите за обществено споделяне и сътрудничество
– правилна регистрация и преглед на сигналите (допълнителна регистрация, когато е възможно, е плюс
– ограничете използването на някои инструменти (например mimikatz, wce, PStools, VNC, net, TeamViewer, WMIC, sdelete, lazagne)
За доставчиците на услуги, изследователят има по-конкретни съвети:
- ротирайте сертификатите за удостоверяване на VPN редовно
- използвайте специален VPN, за да комуникирате с клиентски организации
- ограничете трафика до и от MSP (VPNd) до конкретни хостове или услуги, които са необходими
- ограничете правата на MSP акаунти до основни задачи на клиентските системи и премахнете ненужните административни привилегии (например администратор на домейн или корпоративен администратор)
- MSP акаунти трябва да се свързват само към системата, до която трябва да имат директен достъп за задачи на управление
- специфични акаунти за услуги се използват за достъп до MSP; помислете за деактивиране на интерактивните влизания за споменатите акаунти
- позволяват достъп до ta акаунти въз основа на конкретен график и наблюдават всички опити
Източник: По материали от интернет