По-голямата част от пробивите на киберпрестъпниците са резултат от лоша

По-голямата част от пробивите на киберпрестъпниците са резултат от неприятна кибер-хигиена в корпоративните ИТ мрежи (снимка: CC0 Public Domain)

Киберизмамниците наподобява консолидират методите си за потребление на криптирани платформи за известия, брокерите за първичен достъп и генеративните AI модели, съгласно нови данни. Брокерството се обрисува като обещаващ и бързо разрастващ се бизнес. Повечето сполучливи пробиви са резултат от неприятна кибер-хигиена в организациите-жертви, сочат още данните.

Като цяло е налице наклонност на понижаване на бариерите за нахлуване в света на киберпрестъпленията и „ усъвършенстване на въоръжаването и осъществяването на рансъмуер офанзиви, “ сочи отчет на компанията за сигурност Cybersixgill.

Проучването се основава на 10 милиона изявления в криптирани дискусионни платформи и други типове данни, извлечени от дълбоката, тъмната и ясната мрежа. Брад Лигет, шеф по разузнаването в Cybersixgill, дефинира тези термини:

„ Това, което събираме в каналите в тези платформи, са известия “, сподели Лигет. „ Подобно на обстановката, в която сте в колективен чат с другари или семейство, тези канали съставляват групи за чат онлайн “.

Концентрация, консолидация

Киберпрестъпниците употребяват криптирани платформи за продан на известия, с цел да си сътрудничат, споделят и да търгуват с принадлежности, откраднати данни и услуги. Проучването обаче демонстрира, че броят на заканите понижава и се концентрира в ръцете на шепа платформи.

Между 2019 година и 2020 година е налице голям скок в потреблението на платформи за криптирани известия. Общият брой на събраните детайли се е нараснал със 730%. В разбора на компанията за 2020-2021 година този брой е повишен с 338%, а по-късно – единствено с 23% през 2022 година до към 1,9 милиарда детайла.

В сайтовете-лукчета* в тъмната мрежа общият брой изявления и отговори във форума е намалял с 13% в интервала сред 2021 година и 2022 година Това значи спад от над 91,7 милиона до към 79,1 милиона.

10-те най-големи форума за киберпрестъпления са имали приблизително 165 390 месечни консуматори през 2021 година, след това този брой е понижен с 4% до 158 813 през 2022 година Публикациите в тези 10 уеб страницата обаче са нарастнали с близо 28%. Това значи, че участниците във форумите са станали по-активни.

Според разбора, наклонността е ясна: в предишното множеството киберпрестъпници са правили „ дейностите “ си сами в тъмната мрежа, до момента в който през последните години се търси съдействие и е налице по-добра организация.

Брокерите за първичен достъп – преуспяващ бизнес

В удостоверение на упоменатата наклонност се оказва, че екосистемата на брокерите за първичен достъп (IAB) се е разраснала дружно с тъмните пазари като Genesis Market, който беше блокиран и затворен от ФБР наскоро. Тези борси улесняват взаимоотношенията сред IAB и киберпрестъпниците, търсещи идентификационни данни, токени, компрометирани крайни точки, корпоративни входове, cPanels или други „ входове “ до корпоративни мрежи.

Проучването приказва за две огромни пазарни категории „ достъп за обмен “:

Общо над 4,5 милиона входни точки за достъп са били продадени през 2021 година След това, през идната година, са продадени 10,3 милиона, разкрива изследването. Ръстът е явен. Лигет разяснява, че IAB разпознават кои идентификационни данни ще работят в избрана среда и по-късно ги продават на едро.

„ Те споделят на рансъмуер операторите: „ Вижте, имаме достъп до организациите X, Y и Z и считаме, че са подготвени да платят сред X и Y $ “. И те знаят това, тъй като правят свое лично разузнаване, тъй че познават бизнеса на жертвата – те знаят предстоящото възнаграждение за рансъмуер офанзива “, изясни той. „ И всичко, което вършат, е да дават идентификационните данни и да си вземат своя дял “.

Това, което дават, може да са пароли, API ключове, токени, изобщо всичко, което ще обезпечи достъп до организацията-жертва. „ Понякога просто знаят, че има известна накърнимост в дадената ИТ среда, и продават това познание. “

Лоша цифрова хигиена

Изводите от изследването приказват още, че доста от идентификационните данни, продавани в тъмната мрежа, съставляват точки за достъп до ИТ мрежите на организации, които са налични с помощта на неприятната цифрова хигиена. Това значи неспазване на базови правила за ИТ сигурност, да вземем за пример чиновниците употребяват едни и същи имена и пароли за вход и в корпоративни системи, и в персонални сметки – нещо, което разрешава влизане и странично придвижване в организациите.

„ Служителите постоянно употребяват едни и същи пароли за своя корпоративен достъп, тъй че, за жалост, персоналният и корпоративният свят са преплетени. След това нападателите отиват в обществените медии – да вземем за пример в Linkedin – и се снабдяват с имена, ползват автоматизация, с цел да съпоставят имената с идентификационните номера и най-после тестват открадната ключова дума “.

_________

* “Лукчета ” са уеб сайтове в тъмната мрежа, които най-често употребяват домейна  ‘. onion’. Разчитат на скритите услуги на Tor за прикриване на местоположението си и идентификационните данни на притежателя. Достъпват се единствено посредством браузера Tor.