קבלו את הכוכבים העולים של עולם הסייבר: סוחרי גישה ראשונית

מחקר חדש עקב אחר פרסומים של סוחרי גישה ראשונית בדארקנט, וזיהה חמישה טרנדים אופייניים לפעילות שלהם. איך נראים אחורי הקלעים של מתקפות הכופר ומה ארגונים יכולים לעשות כדי להתגונן מפניהן?

העבודה מרחוק העלתה את מעמדם של סוחרי הגישה הראשונית (צילום: Dreamstime)

מאת רביד לייב, VP Product ב-KELA

סוחרי גישה ראשונית (Initial Access Brokers – IABs) הם פושעי סייבר הפועלים להשגת גישה ראשונית לרשת או למערכת של ארגון בדרכים הכוללות גניבת פרטי התחברות, מתקפת Brute Force או באמצעות ניצול חולשה (Exploit).

בשנת הקורונה, שבה עבודה מהבית הפכה הכרח, נכפה על ארגונים ליישם מדיניות עבודה מרחוק ללא זמן היערכות. התחברות מרחוק נוצרה לעתים ללא הקפדה על נהלי אבטחת מידע, דבר שהיווה פוטנציאל עצום עבור IABs שחיכו בדיוק להזדמנות כזו. השינוי שהתרחש בעולם יצר “מקום של כבוד” עבור IABs בקרב פושעי הסייבר, וכיום הם נושאים בתפקיד מכריע בתעשיית ה-RaaS – Ransomware as a Service, משום שהם מסייעים בפלישה לרשתות של ארגונים ובכך מקדמים את פעילותם של תוקפי סייבר ממוקדים – לרוב תוקפי כופר (Ransomware).

במילים פשוטות, גישות לרשת מסייעות בביצוע מתקפות כופר. ב-20 בפברואר 2021, מפעילי אתר DarkSide, החושף קורבנות למתקפות כופר, פרסמו פוסט בו הם טענו שהצליחו לפגוע בחברת Gyrodata, ספקית טכנולוגית אמריקאית בענף האנרגיה. חודש לפני, ב-16 בינואר 2021, נצפה פוסט של סוחר גישה ראשונית בו הוא מציע למכירה גישה לאותה חברה. יומיים לאחר אותו פוסט הגישה כבר נמכרה לקונה – קרוב לוודאי שלאותו מפעיל שמינף את הגישה לטובת הדבקת הרשת וביצוע מתקפת כופר. אישוש לזה התקבל מ-Gyrodata שחקרה את המתקפה נגדה וקבעה שגורמים לא מורשים השיגו גישה למערכות בזמנים שונים באותו פרק זמן.

הגישה ל-Gyrodata שהוצעה למכירה

במשך שנה שלמה, מ-1 ביולי 2020 ועד 30 ביוני 2021, עקבנו אחר IABs ואחר פרסומים של גישות רשת למכירה במגוון פורומים בדארקנט. במסגרת המחקר זיהינו חמישה טרנדים אופייניים לסוחרי הגישה הראשונית ולפעילותם.

טרנד ראשון: המחיר נקבע על פי גודל החברה ורמת ההרשאות

המחיר הממוצע לגישה לרשת בתקופת המחקר עמד על 5,400 דולר, והמחיר החציוני עמד על 1,000 דולר. לטענת הסוחרים, מתוך כל ההצעות שהם פרסמו, לפחות 25% נמכרו.

מודל התמחור תלוי בעיקר ברווחים ובגודל החברה הנפגעת. נראה שהגישות לחברות אמריקאיות הן הפופולריות ביותר – החברות בארה”ב רווחיות יותר ולכן רלוונטיות עבור התוקפים. אולם הסוחרים אינם מגבילים את עצמם למכירת גישות לחברות גדולות בלבד – הצעות רבות כוללות גם חברות קטנות במחירים של 100-200 דולר.

מדד נוסף למחיר הוא רמת ההרשאה שמאפשרת אותה גישה, כאשר הרשאת Domain Admin היא היקרה ביותר. ממצאים קודמים שלנו הראו כי גישה כזו עולה בממוצע לפחות פי 10 מגישה למחשב עם הרשאות משתמש.

הנה כמה מההצעות היקרות ביותר שפורסמו על ידי סוחרים מוכרים בדארקנט:

  • גישה לחברה אוסטרלית עם רווחים של 500 מיליון דולר והרשאות Domain Admin הוצעה למכירה במחיר של 12 BTC (ביטקוין).
  • גישה לחברת IT אמריקאית באמצעות ConnectWise הוצעה בתמורה ל-5 BTC.
  • גישה לגוף ממשלתי במקסיקו הוצעה במחיר של 100 אלף דולר ושימשה בהמשך את קבוצת הכופר LockBit לביצוע מתקפת כופר.

טרנד שני: גיוון הולך וגדל של סוגי גישות

המונח “גישת רשת” הוא כללי ומתאר וקטורים שונים, רמות הרשאה שונות ונקודות חדירה שונות. בשנה האחרונה זיהינו שההצעות השכיחות ביותר הן גישות מבוססות RDP או VPN, ולרוב הן מתבטאות בצורת שם משתמש וסיסמה בתוקף. גישה מרחוק הוצעה באמצעות תוכנות ConnectWise ו-TeamViewer, המאפשרות לסוחרים יכולות דמויות RDP. גישת VPN הוצעה באמצעות תוכנות כגון Citrix ,Pulse Secure ו-Fortinent – מהפופולריות ביותר בקרב תוקפים.

עם הזמן, IABs מוצאים זוויות תקיפה ודרכים חדשות לספק גישות לקונים, כך שמרחב הפגיעה גדל. לדוגמה, הגישה לשרתי VMWare ESXi הפכה לאחרונה לפופולרית למדי בקרב תוקפי כופר – עד כדי כך שקיימות קבוצות כופר (כגון REvil ו-DarkSide) עם כלים זדוניים המתמקדים ספציפית ב-ESXi – תופעה שהחלה רק ב-2020.

גישת RMM המוצעת למכירה

טרנד שלישי: IABs יורדים למחתרת

ממוצע הגישות המוצעות למכירה גדל ברבעון השלישי והרביעי ב-2020 וברבעון הראשון של 2021. אולם ברבעון השני של 2021 צנח המספר הממוצע לחודש ב-35% (!), ולא מכיוון שהסוחרים השעו את פעילותם – הם פשוט העבירו חלק מהעסקאות שלהם לשיחות פרטיות עם מתווכים או שותפים בקבוצות כופר, בניסיון לחמוק מזיהוי של גופי אכיפת חוק.

ישנה תופעה נוספת בהקשר הזה: ראשית, הסוחר מפרסם בפומבי “טעימה” מרשימת גישות שבידיו, ומציע לשתף את הרשימה השלמה ב”פרטי”. סוחרים כאלו לרוב מעוניינים לאתר קונה אחד שיקנה את כל הרשימה, במטרה לדרוש אחוז מהרווחים העתידיים של מתקפת כופר מוצלחת שאותה רשימת גישות תאפשר.

אך לא כל סוחר גישה ראשונית פועל באופן פרטי. כאשר שחקנים חדשים מופיעים, הם מנסים לייצר מוניטין ולבסס עצמם כמוכרים מנוסים תחילה, באמצעות פרסום הצעות גישה למכירה בפורומים ציבוריים. בהמשך, חלקם מוצאים לקוחות קבועים ומצמצמים את ההופעות הציבוריות. סוחרים כאלה ישובו לעתים לפרסם הצעות בפומבי עם גישות שלקוחותיהם הקבועים לא ירצו.

סוחרי גישה ראשונית מחפשים קונים עבור מספר גישות. משמאל – הצעה ל- “70 גישות Citrix בארצות Tier 1”. מימין – סוחר גישה ראשונית הטוען שיש בידיו אספקה שוטפת של גישות domain admin שהוא מוכן למכור לקונה אחד

טרנד רביעי: כללי אתיקה חדשים נוצרים בעקבות “רשימות שחורות”

גם לתוקפי כופר יש לפעמים קווים אדומים. חלק מקבוצות התקיפה, כמו DarkSide, התחייבו שלא להתמקד במגזרים מסוימים, ונראה כי כללי אתיקה חדשים הולכים ומתגבשים בין הגורמים השונים בתעשייה. ישנן קבוצות שנצפו אוסרות על שותפיהן לתקוף את מגזרי שירותי הבריאות, הממשלה, החינוך וארגונים שלא למטרות רווח, כדי לא לפגוע במטופלים, סטודנטים, אזרחים ואוכלוסיות נוספות. הקבוצות מנסות להעביר מסר שלפיו מטרתן היא רווח כספי בלבד, מה שהביא למקרים בהם תוקפים פרסמו פרטי קורבנות בתחום שירותי הבריאות, ומחקו את הפרסומים לאחר שספגו ביקורת מצד משתמשים. עם זאת נציין שרוב הסוחרים עדיין ימכרו את כל סוגי הגישות שיצליחו להשיג.

טרנד חמישי: מקסום רווחים בכל דרך אפשרית

במרדף אחר הכסף, סוחרים מחפשים דרכים למקסם את הרווחים מכל גישה שהם משיגים. לא אחת ראינו סוחרים שהשתמשו בעצמם בגישות שהשיגו כדי לגנוב מידע מהקורבן, עוד לפני שפרסמו אותן למכירה – דבר שאיפשר להם להרוויח פעמיים מאותה גישה.

לדוגמה, בנובמבר 2020 זיהינו גורם שהציע גישת Domain Admin לרשת של חברת תעופה פקיסטנית בתמורה ל-4,000 דולר בשלושה פורומים שונים. שבוע לאחר פרסום הגישה הכריז אותו גורם שהוא גם מוכר את כל בסיסי הנתונים שישנם ברשת החברה. הוא ציין כי בידיו 15 בסיסי נתונים עם מספר משתנה של רשומות – שתי גישות שונות למקסום הרווח מגישה בודדת.

מסקנות

עולם ה-RaaS מתנהל כארגון: פושעי סייבר בתפקידים שונים יוצרים שיתופי פעולה עסקיים במטרה לייצר רווחים, כאשר כל שחקן מומחה בתחומו ומהווה חוליה בשרשרת מהלכים המסתיימת בתקיפה של ארגון. IABs חדשים צצים מדי יום, פעילותם הולכת וגדלה והם כאן כדי להישאר. לכן לארגונים אסור להתעלם מקיומם: ניטור מקורות הדארקנט, בהם פועלים אותם פושעים, וקבלת התראות על פעילותם, מאפשרים להתגונן ולעתים למנוע מתקפה מתוכננת על הארגון.

הכתבה בחסות KELA

קלע (KELA) עוזרת לארגונים להתמודד עם איומים מעולמות הדארקנט (הרשת האפלה) ומסירה את החשש מהלא נודע. הפתרון של קלע, המשלב טכנולוגיית מודיעין איומים אוטומטית עם ניסיון מודיעיני עשיר, מייצר מודיעין איומי סייבר המותאם לצורכי ונכסי הארגון. החברה מגיעה למקומות האפלים ביותר ברשת ומציפה את הסכנות הרלוונטיות - בכך קלע מאפשרת לארגונים להישאר מוגנים ולנקוט בפעולות אבטחה יזומות וממוקדות.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

רוצה להיות הראשון להגיב?

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: