Hackers ask $120,000 for access to multi-billion auction house

ハッカーたちは、大手オークションハウスのネットワークに侵入し、12万ドルを支払う意思のある人にアクセスを提供したと主張しています。

セキュリティ研究者らは、72 件の投稿のサンプルを分析した結果、初期アクセス ブローカー (IAB) に市場を提供することで知られるハッカー フォーラムでこの広告を発見しました。

高価なネットワークアクセス

脅威インテリジェンス企業フレアの研究者らは、IABがロシア語のハッカーフォーラム「エクスプロイト」で提供した3カ月間のオファーを徹底的に調査し、標的となる人物、その提示価格、そして最も活動的なのは誰かをより深く理解した。

5月1日から7月27日まで、ブローカーは防衛、電気通信、医療、金融サービスなど18業界にわたる100社以上へのアクセスを宣伝した。

フレア社のマーケティング担当副社長エリック・クレイ氏は、共有されたレポートの中で、米国、オーストラリア、英国の企業に対する攻撃が最も多かったものの、国内総生産(GDP)が高いことを考えれば驚くべきことではないと述べている。

クレイ氏は報告書の中で、金融および小売部門の組織が最も標的にされ、次に建設業と製造業が続いたと指摘している。

会社概要と国に応じて、価格は 150 ドルから始まり、そのほとんどは VPN または RDP を介した初期アクセス用でした。出品商品の約 3 分の 1 は 1,000 ドル未満でした。

しかし、最も高価な販売品は、数十億ドルのオークションハウスのネットワークへのアクセスに使用される12万ドル(当時のBTC 4)でした。

ハッカーらはあまり詳細を明らかにしなかったが、ストラディバリウスのバイオリンや収集車など、複数の高級オークション(つまり管理パネル)へのバックエンドアクセスを特権的に持っていたと述べた。

「ほとんどのアクセスは低価値から中程度の価値ですが、場合によっては非常にユニークなアクセスや高価値のアクセスがオークションにかけられ、当社の平均と比較して極端な価格変動が生じる可能性があります。」 – Flare

他の高額なオファーの多くは米国と英国の企業への初期アクセス向けであり、初期アクセス オファーは医療、金融サービス、製造などの重要なインフラストラクチャ組織向けでした。

アクセス権限と地理

投稿のほとんどは被害者の地理に言及しており、研究者は米国外でハッキングされたとされる35の組織を示す地図を作成することができた。

初期アクセスブローカーの投稿に基づく被害者の地理情報
初期アクセス広告に基づく被害者の分布
ソース: Flare.io

エクスプロイトフォーラムのIABは依然としてロシアや独立国家共同体(CIS)諸国の標的を避けているが、驚くべきことに、世界で2番目に高いGDPを誇る中国ではその数が少ない。

クレイ氏は、IABは通常、中国をターゲットにすることを避けているが、中国の人工知能企業へのネットワークアクセスを目的としたリストが1件あったと語った。

投稿内で最も頻繁に見られたアクセスの種類は、RDP (32 件の投稿で確認) または VPN (11 件の投稿で確認) を介したもので、これらを合わせてデータ セット内のリストの 60% を占めました。

アクセス アカウントに関連付けられた権限のレベルは、クラウド管理者 (14 件) からローカル管理者 (5 件)、ドメイン ユーザー (2 件) まで多岐にわたりました。

余談だが、クレイ氏は、あるブローカーが「米国のラジオ局への特権アクセス」を提供し、ハッカーらが「広告の掲載」に利用できる可能性があると語った。

一部の IAB は、ランサムウェア操作に役立つ可能性のある企業 IT ネットワークへのアクセスとともに、バックアップおよび回復システムへのアクセスを宣伝しました。

通常、企業ネットワークへのアクセスは情報を盗むマルウェアによって行われますが、一部の攻撃者は、別の種類のマルウェア、フィッシング、または脆弱性の悪用など、別の方法を使用したと明言しています。

「スティーラー ログは、初期アクセス ブローカーにとって見落とされている主要なアクセス ベクトルです。これは驚くほど単純なタイプの感染であり、IAB やランサムウェア グループが企業の IT 環境にアクセスする主な手段の 1 つであることはほぼ確実です。」 – Mathieu Lavoie 氏。 Flare社最高技術責任者

初期アクセス ブローカーがネットワークへのアクセスを取得するために使用する方法に関係なく、企業は少なくとも、企業認証情報の定期的なソースである情報窃取マルウェアの監視メカニズムを実装する必要があります。

初期アクセスブローカーがオファーを宣伝するフォーラムを監視することは、被害者の名前が匿名化されている場合でも、組織が侵害の可能性に関する手がかりを得るのに役立つ可能性があります。

地理、収益、業界、アクセスの種類などのデータを組み合わせることで、潜在的な侵害の調査を開始するのに十分なヒントが得られます。

このプロセスには、より強力なセキュリティが必要な領域の発見や、リスクを引き起こす可能性のあるデバイス、サービス、アカウントの特定など、プラスの副作用も伴う可能性があります。