>
Insiktレポート

初期アクセスブローカーはランサムウェア攻撃の増加の鍵です

投稿: 2022年8月2日
作成者 : Insikt Group®

insikt-group-logo-updated-3-300x48.png

編集者注:以下の記事は、レポート全文の抜粋です。 分析の全文を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

このレポートでは、サイバー犯罪者がダークウェブや特殊アクセスソースでネットワークを侵害し、インフォスティーラーマルウェアを展開し、有効な認証情報を取得するために使用する戦術、技術、手順(TTP)の概要を説明します。 これらの脅威アクターは、「初期アクセスブローカー」と呼ばれ、 ランサムウェア 攻撃の大部分を可能にするサイバー犯罪者の地下組織内の専門業界を代表しています。 このレポートには、Recorded Future® Platform、ダークウェブソース、オープンソースインテリジェンス(OSINT)技術を使用して収集された情報が含まれています。 これは、ランサムウェア攻撃を可能にする一連のイベントの概要です。 これは、技術以外のバックグラウンドや役割を持つサイバーセキュリティの専門家に概要を提供することを目的としています。

Executive Summary

脅威アクターは、インフォスティーラーマルウェアの感染、ダークウェブや特別アクセスフォーラムでの初期アクセス仲介サービス、ダークウェブショップやマーケットプレイスからのインフォスティーラーログの購入を通じて、ネットワークへの初期アクセスを取得できます。 フィッシング、スピアフィッシング、コードインジェクションなどの他の攻撃ベクトルもダークウェブや特別アクセスフォーラムで一般的ですが、その直接的な影響は、侵害された認証情報の販売よりもはるかに公開されず、目に見えるものになることがよくあります。 BlackMatterとContiを例に、初期アクセスからランサムウェアの展開まで、攻撃の実行におけるクレデンシャルアクセスの役割を調査します。 認証情報の侵害、インフォスティーラーマルウェア感染、ランサムウェア攻撃の軽減策を提供するとともに、これらのツールの将来とランサムウェアの脅威のより大きな状況についての評価を提供します。

主な判断

  • ランサムウェア攻撃を成功させるために、脅威アクターは侵害されたネットワークへのリモートアクセスを必要とします。 脅威アクターがアクセスを取得する最も一般的な方法は、侵害された有効な資格情報ペアを使用することです。これは、多くの場合、インフォスティーラーマルウェアを介して取得され、ダークウェブや特別なアクセスソースで販売されます。
  • 侵害された認証情報は、ダークウェブや特別アクセスのフォーラムやショップでランサムウェアのアフィリエイトに売られることが多く、彼らはそのようなアクセスを使用してシステム内を横方向に移動し、権限を昇格させ、マルウェアローダーを使用してランサムウェアを展開します。

背景

脅威アクターは、マルウェアローダーの展開、データ流出、スパイ活動などの攻撃を成功させるために、侵害されたネットワークへのリモートアクセスを必要とします。 これらの侵害されたアクセス方法は、ダークウェブや特別なアクセスフォーラムでよく販売されており、俗に「初期アクセスブローカー」(IAB)と呼ばれる専門の脅威アクターの仕業です。 IAB は、インフォスティーラー マルウェアのデプロイの成功による有効な資格情報ペアとセッション Cookie の取得、ダーク Web ショップでのインフォスティーラーの「ログ」または「ボット」の購入、クレデンシャル スタッフィング、中間者攻撃、フィッシング、リモート デスクトップ プロトコル (RDP) の「ブルートフォース推測」など、いくつかのツールと TTP を使用してこのようなアクセスを取得します。

エクスプロイトやXSSなどのトップティアのダークウェブや特別なアクセスソースで販売またはオークションにかけられる最も一般的な資格情報ペアは、企業の仮想プライベートネットワーク(VPN)、RDPサービス、Citrixゲートウェイ、Webアプリケーションおよびコンテンツ管理システム(CMS)、および企業のWebメールサーバー(ビジネスメール詐欺、またはBEC)用です。 ESXiルートとActive Directory(AD)のアクセス方法、ゼロデイ脆弱性とnデイ脆弱性、コードインジェクションポイント(HTML、SQL)などは、あまり一般的ではありませんが、より人気があります。 このレポートでは、初期アクセスブローカーが侵害されたアクセス方法を入手し、ダークウェブや特別なアクセスソースで販売する一般的なプロセスと、そのような方法を使用してランサムウェア攻撃を成功させるための方法について概説します。

編集者注:この記事はレポート全文の抜粋です。 分析の全文を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

関連