A hozzáférés-szolgáltatásként történő hozzáférés a földalatti piacokon több mint 775 millió eladásra kínált hitelesítő adatokkal és több ezer hirdetéssel indult el. A veszélyeztetett rendszerekhez, szolgáltatásokhoz és hálózatokhoz való hozzáférés köré épülő kiberbűnözés ökoszisztéma az elmúlt évben drámai mértékben bővült, hatszorosára nőtt a rosszindulatú szoftverekkel ellopott és eladásra kínált hitelesítő adatok száma.
Mivel a kibertámadók a hitelesítő adatok megszerzésére információlopó rosszindulatú szoftvereket használnak, a Recorded Future nemrég közzétett éves jelentésében szereplő megállapítások szerint a hozzáférés-szolgáltatásként nyújtott ajánlatok elterjedése az alvilágban virágzott, és hirdetések ezrei kínálnak hozzáférést a potenciális kiberbűnözőknek a veszélyeztetett rendszerekhez.
Emellett az adatgyűjtés, a lopott fiókok használata és az adathalászat a jelentés szerint a kiberbűnözők fórumain a 10 legkitárgyaltabb taktika között szerepel. Az underground fórumok legnépszerűbb témáinak elemzése azt mutatja, hogy az ellopott hitelesítő adatok és a kezdeti hozzáférések értékesítése továbbra is uralja a kiberbűnözői piacokat - mondta David Carver, a Recorded Future Insikt kutatócsoportjának vezető menedzsere a Dark Readingnek.
"A hitelesítő adatok hatalmas üzletet jelentenek, mert továbbra is sikeresek és jövedelmezőek a bűnözők számára. Amíg tehát továbbra is viszonylag könnyű módjai lesznek a hitelesítő adatok nagyarányú pénzzé tételének, ami a bűnözői piacokra már régóta igaz, addig nem látom, hogy az ilyen típusú lopások lendülete változna" - mondja.
Egy évtizeddel ezelőtt a kiberbűnözők arra összpontosítottak, hogy értékes adatokat lopjanak el, vagy olyan konkrét vállalatokat veszélyeztessenek, amelyeket nem csak ki lehetett használni, de a megtámadottak fizettek is azért, hogy békén hagyják őket. A zsarolóvírusok népszerűségével és a kriptovaluták fizetési módként való felhasználásának lehetőségével azonban a támadók szinte bármilyen szervezet elleni behatolást pénzzé tudtak tenni. Így az ellopott hitelesítő adatok és a hozzáférések értékesítése a feketegazdaság egyik legkeresettebb tevékenségévé vált.
Az ellopott hitelesítő adatok felhasználása nehezebbé vált a kiberbűnözők számára a többfaktoros hitelesítésnek (MFA) köszönhetően, de a támadók az MFA számos típusának megkerülési technikáival válaszoltak, így a hitelesítő adatok ellopása továbbra is a betörés utáni szokásos taktika, és a hozzáférés, mint szolgáltatás továbbra is virágzik - magyarázta Carver.
"Amíg sem a koncepciónk, sem a személyazonossággal kapcsolatos alapvető módszereink nem változnak, addig nem lesz változás a bűnözői piacon, legalábbis nem úgy, ahogyan most látjuk" - mondja.
A támadók 2021-ben az értékes rendszerek megtalálására és zsarolóprogrammal történő titkosítására összpontosítottak, a Recorded Future által feltárt trendi taktikák, technikák és eljárások listájának élén titkosított adatok és a rendszerinformációk feltárása áll. A 2022-es éves jelentés szerint a kiberbűnözők a hangsúlyt a helyi rendszerekből történő adatgyűjtésre és az érvényes fiókok hozzáférésre való felhasználására helyezték át.
A tendencia azt mutatja, hogy a hozzáférés egyre fontosabbá vált, mivel a kiberbűnözőknek a zsarolóprogramoknál több lehetőségük van a kompromittált rendszerekből pénzt szerezni, ami az információlopási funkciók népszerűvé válásához vezetett - közölte a cég. A Recorded Future adatai szerint a váltságdíjfizetések 2022-ben közel 60 százalékkal csökkentek 2021-hez képest.
"A hitelesítő adatok értékesítése továbbra is népszerű a sötét webes piactereken, jellemzően fiókátvételi és hitelesítő adatokkal való feltöltési támadásokhoz. Ez a taktika az információlopó rosszindulatú szoftverek és a malware-as-a-service modell elterjedésével egyre kifinomultabbá vált" - áll a jelentésben.
A támadók a kompromittálódást követő hitelesítő adatok gyűjtésére összpontosítanak, mivel a felhasználóról több információ vált szükségessé egyes biztonsági ellenőrzések kijátszásához. Carver szerint a támadók a felhasználóneveken és jelszavakon kívül most már valószínűleg munkamenet-tokeneket, földrajzi információkat, a böngésző verziójára vonatkozó információkat és egyéb adatokat is gyűjtenek a böngésző gyorsítótárából.
Carver szerint a vállalatoknak fel kell tételezniük, hogy a fenyegető szereplőknek megvannak az alkalmazottak alapvető hitelesítő adatai, és a többfaktoros hitelesítést meg lehet kerülni. Gondoskodniuk kell emellett arról, hogy képesek legyenek észlelni a rendellenes fiókviselkedést.
"Az abszolút első dolog, amit a vállalatoknak meg kell vizsgálniuk, az a személyazonosság- és hozzáférés-kezelés, annak szavatolása, hogy a személyazonosságok vagy platformok teljes körére, illetve a belső hozzáféréssel rendelkező felhasználókra kiterjedően valóban robusztus és jól érthető biztonsági program legyen. Számomra ez most a biztonságosabb program tétje, tekintettel az információlopók térnyerésére" - mondta a szakember.
