Киберпрестъпната екосистема днес няма нищо общо с тази отпреди десетилетие. Типичен пример за това са групи, като вече несъществуващата REvil, Conti и др., които имат своеобразни отдели и звена, занимаващи се с конкретни действия – такива, които се занимават с примамване на жертвите и организация на фишинг кампаниите, криптографи, хора, занимаващи се със сървърните операции, със сайта на групите и даже колцентрове. Специализацията в същата тази екосистема е важен фактор за процъфтяването ѝ и нейния успех. В последните няколко години особена популярност придобиха т.нар. IABs (initial access broker) или брокери на първоначален достъп – важна брънка от веригата на успешната атака към предприятия и бизнес от различен мащаб. Става дума за киберпрестъпници, чиито действия се концентрират около това да се сдобият със записи за вписване и вход в мрежите, търсейки слабости в отделни компоненти на същите тези бизнеси. Използвани слаби пароли за отдалечен мрежов достъп, неправилно конфигурирани защити, пренебрегване на основни стандарти и протоколи за сигурност от страна на администриращите мрежи. Каквато и да е слабост, чрез която те могат да влязат в мрежовия периметър, IAB брокерите я намират, крадат тези данни, след което ги продават на други киберпрестъпни групи, които на свой ред се възползват от това – доставят рансъмуер или троянски коне, шпионски програми и друг тип зловреден софтуер. По данни на специалисти по информационна сигурност, в последните 12 месеца се отчита огромен ръст на дейността на този тип киберпрестъпни структури.
По данни на Group-IB, между втората половина на 2021 и първите три месеца на миналата година са регистрирани 2348 случая на продажба на първоначален достъп, като се отчита ръст, както на броя на лицата, замесени в този вид престъпления, така и на държавите, в които компаниите, станали жертва на IAB оперират. Най-засегнатите сектори от дейността на IAB брокерите се явяват производството, следвани от финансовите услуги, недвижимите имоти и образователния сектор. Що се отнася до най-често компрометираните точки за достъп до мрежите на техните цели, това са RDP връзките (36%) и VPN акаунтите (37%), посочва докладът Hi-Tech Trends Report 2022/2023.
Освен това, Group-IB отчитат ръст в броя на IAB групите – от 262 на 380, което на свой ред е довело до спад в средната цена на достъп с 50% до $2800. Тези криминални структури се възползват също така активно от дейността на зловредния софтуер, чиято цел е кражбата на информация. Group-IB засичат 96 милиона записи от подобен род софтуер, които се продават, от които силно търсените в момента са логове от SSO (Single Sign-On) решения. Една от големите опасности, идващи от този ръст на IAB активността се изразява в по-голямата достъпност на тези откраднати записи до не толкова умели в техническо отношение хакери, подчертава изпълнителният директор на Group-IB Дмитрий Волков.
„Благодарение на по-голямото разпространение на дистанционния модел на работа и SSO услугите, примерите за осъществен достъп до корпоративните мрежи започна да се появява все повече в записите, откривани в софтуера, крадящ данни. Атаките към компаниите чрез техните служители ще се превърне в един от основните вектори за пробив“, предупреждава Волков. „Панацея тук няма. Тенденциите в случая подчертават нуждата на компаниите да подобрят киберсигурността по всички фронтове, в това число обучение на служителите по отношение на социалното инженерство, подобряване на способностите за засичане и отговор на заплахите, както и разбира се проследяване на ъндърграунд пространството за предлагани там компрометирани работни записи и предложения за достъп до мрежите им“.
