De zwarte markt voor toegangsgegevens, actiever dan ooit
Er zijn tienduizenden geheime pagina’s en forums op het dark web die niet door zoekmachines worden geïndexeerd, zodat ze verborgen blijven tenzij de gebruiker het adres van tevoren kent. Het gaat onder meer om discussieforums waar technieken of tools worden gedeeld waarmee vervolgens cyberaanvallen kunnen worden gelanceerd. Maar deze sites fungeren ook als zwarte markt voor het kopen en verkopen van illegaal verkregen gegevens. Uiteraard worden deze transacties op de zwarte markt vaak gedaan met cryptocurrencies en andere methoden die voor de autoriteiten moeilijk te traceren zijn.
IAB’s en RaaS
In toenemende mate worden deze sites gebruikt voor ransomwarecampagnes waarbij cybercriminelen voor slechts een paar dollar geavanceerde hacking tools kunnen kopen of volledige lijsten met gebruikersgegevens en credentials kunnen kopen. Een kleine investering die bij een succesvolle ransomware aanval honderdduizenden dollar kan opleveren.
Op deze illegale marktplaatsen zijn over het algemeen twee belangrijke “aanbieders” betrokken:
Initial Access Brokers (IAB’s):
Individuen of groepen die erin slagen gegevens te bemachtigen, zoals toegangscredentials tot bedrijfsnetwerken, en deze te koop aanbieden.
Ransomware operators:
Deze groepen kopen credentials om daarmee vervolgens een ransomware campagne uit te voeren. Maar het komt steeds vaker voor dat deze operators hun diensten aanbieden als een ransomware-as-a-service (RaaS), bijvoorbeeld aan hackers die vervolgens de aanval uitvoeren.
Drievoudige toename
Enkele weken geleden publiceerde een groep cyberbeveiligingsanalisten een rapport waarin zij honderden van deze dark web-fora analyseerden en ontdekten dat het aantal te koop aangeboden toegangsgegevens voor bedrijfsnetwerken is gestegen, van 362 in de vorige analyse tot 1.099 – een verdrievoudiging in slechts één jaar.
In het rapport wordt opgemerkt dat de vraag op deze markt is gegroeid naarmate het aantal cyberaanvallen met ransomware toenam. Veel individuen en groepen worden aangemoedigd om de markt te betreden door het succesvolle aanvallen waarbij miljoenen aan losgeld is betaald. Maar de analisten wijzen ook op de toename van het aantal thuiswerkers als gevolg van de pandemie als een belangrijke oorzaak van deze toename. Veel van de aangeboden toegangsgegevens behoren tot VPN- en RDP-tools.
Remote Access Point (RAP)
Ons Internet Security Report Q3 2021 belicht deze explosieve toename van ransomware en cyberaanvallen die gebruikmaken van remote working tools. In dit https://www.watchguard.com/wgrd-news/blog/black-market-credentials-more-active-ever scenario wordt organisaties aangeraden om Remote Access Point (RAP)-oplossingen in te zetten die volledig veilige toegang tot de bedrijfsnetwerken van de organisatie mogelijk maken.
Of het nu vanuit een bijkantoor of vanuit huis is, medewerkers zijn zo verbonden met een betrouwbaar Wi-Fi-toegangspunt dat via een IPSec IKEv2 VPN-netwerk is verbonden met de centrale kantoren waar de servers worden gehost, die op hun beurt worden beschermd door een next-generation firewallapparaat.
Bovendien kunnen de IT-teams van de organisatie op die manier de toegang op afstand tot het bedrijfsnetwerk gemakkelijk en centraal beheren en een strikte controle behouden over de machtigingen en geloofsbrieven, aangezien ze ook geavanceerde multifactorauthenticatie-oplossingen (MFA) kunnen implementeren om de identiteit van elke gebruiker te controleren en correct te beheren. Hierdoor zijn bedrijfsnetwerken veel beter beschermd tegen pogingen van IAB’s om geloofsbrieven te bemachtigen.