Ransomware-aanvallen nemen toe en voor de slachtoffers van deze misdaden is het een kostbaar probleem. Voor acteurs aan de andere kant biedt de trend echter nieuwe manieren om geld te verdienen. Een voorbeeld hiervan is de rol van de initiële toegangsmakelaar.

De meest winstgevende ransomware-aanvallen kunnen alleen worden uitgevoerd door eerst toegang te krijgen tot een beveiligd netwerk en cybercriminelen hebben niet altijd de mogelijkheid om dit te bereiken. In plaats daarvan kunnen ze de benodigde toegang kopen bij een makelaar.

Dus wat zijn initiële toegangsmakelaars en hoe kunt u zich ertegen beschermen?

Wat zijn initiële toegangsmakelaars?

Initial access brokers zijn kwaadwillende actoren die tegen betaling toegang verlenen tot beveiligde netwerken. Het zijn vaak hackers, maar ze kunnen ook via social engineering toegang krijgen tot netwerken.

Hun motivatie is niet om zelf cyberaanvallen uit te voeren, maar om de toegang aan een andere partij te verkopen. Vanwege de winstgevendheid van ransomware-aanvallen

en andere cyberaanvallen, zijn er veel potentiële kopers voor een dergelijk product.

Hierdoor kunnen initiële toegangsmakelaars aanzienlijke winsten maken, ondanks dat ze slechts een kleine rol spelen in cybercriminaliteit als geheel.

Hoe initiële toegangsmakelaars toegang krijgen

Initiële toegangsmakelaars gebruiken verschillende technieken om beveiligde netwerken te betreden. Als een netwerk gebruik maakt van verouderde software, kunnen hackers mogelijk snel inbreken. Ze kunnen ook proberen gebruikersreferenties te achterhalen met behulp van brute force-technieken zoals wachtwoord sproeien. Of ze proberen phishing, of spear phishing, aanvallen tegen bekende gebruikers.

Welke soorten toegang verkopen ze?

Initiële toegangsmakelaars verkopen voornamelijk gebruikersreferenties. Eenmaal verkregen, geven ze de houder toegang tot een netwerk op dezelfde manier als een legitieme gebruiker.

Gebruikersreferenties worden voornamelijk verkocht voor remote desktop-protocollen en VPN's. Sommige initiële toegangsmakelaars gaan ook verder met het installeren van software voor beheer op afstand op gecompromitteerde servers. Referenties voor die software worden vervolgens verkocht om gemakkelijke toegang te bieden.

Na het kopen van inloggegevens kan een aanvaller naar waardevolle informatie zoeken, mogelijk beveiligingsfuncties uitschakelen en mogelijk elk gewenst programma installeren. Met andere woorden, de inloggegevens kunnen worden gebruikt om een ​​breed scala aan cyberaanvallen te starten.

Wie koopt bij Initial Access Brokers?

Initiële toegangsmakelaars verkopen voornamelijk aan ransomware-operators. Ze verkopen aan de hoogste bieder en ransomware is meestal de meest winstgevende manier om hun product te gebruiken. Maar initiële toegang kan ook waarde hebben voor andere partijen. Als een server vertrouwelijke informatie heeft, kunnen gebruikersreferenties worden gekocht om deze te verkrijgen.

Initiële toegangsmakelaars verkopen hun producten op darkweb-marktplaatsen. Hun productpagina's bevatten informatie zoals het type server, het toegangsniveau en de inkomsten van het bedrijf waartoe de server behoort. Hierdoor kunnen cybercriminelen die gericht zijn op een specifiek type cyberaanval gemakkelijk geschikte inloggegevens voor dat doel vinden.

De prijs van initiële toegang varieert van minder dan honderd dollar tot vele duizenden. Referenties worden doorgaans geprijsd op basis van de inkomsten van het bedrijf dat eigenaar is van het netwerk.

Hoe Initial Access Brokers een toename van ransomware-aanvallen veroorzaken

Ransomware is geen ingewikkeld softwareproduct. Het is ook algemeen beschikbaar om te kopen op het dark web. Veel ransomware-operators zijn geen ervaren hackers. Het zijn gewone mensen in het bezit van een krachtig instrument.

Het vermogen om geld te verdienen met ransomware wordt daarom niet bepaald door technische bekwaamheid of zelfs toegang tot software. Het wordt beperkt door het feit dat het moeilijk is om netwerken te vinden om aanvallen op uit te voeren.

Grote organisaties besteden veel geld aan het beveiligen van hun netwerken voor precies dit doel. Doorbreken kost dan ook veel inspanning en veel infiltratiepogingen blijken niet succesvol.

Initiële toegangsmakelaars nemen deze toetredingsdrempel weg. Ze zetten een winkel op en kondigen aan dat ze al het harde werk al hebben gedaan. Tegen een kleine vergoeding (in vergelijking met de potentiële winst) kan iedereen toegang krijgen tot het netwerk van een overigens professionele organisatie.

Dit heeft aanzienlijke gevolgen voor de ransomware-industrie als geheel.

Het biedt een efficiënte werkverdeling waardoor alle partijen zich kunnen focussen op waar ze goed in zijn. Hackers kunnen geld verdienen met hun vermogen om snel toegang te krijgen tot netwerken en ransomware-groepen kunnen zich uitsluitend richten op de afpersingskant.

Het stelt personen met beperkte technische expertise ook in staat aanvallen uit te voeren zonder daadwerkelijk iets te leren. Ransomware wordt vaak verkocht met zowel gebruikersinstructies als klantenondersteuning. Initiële toegangsmakelaars verstrekken vervolgens de gebruikersreferenties die nodig zijn om ervan te profiteren.

Een ander probleem met initiële toegangsmakelaars is dat ze een nieuwe laag toevoegen aan de ransomware-industrie. Als de dader van een ransomware-aanval wordt vervolgd, is het onwaarschijnlijk dat de initiële access broker die toegang heeft verleend, wordt vervolgd en vice versa. Dit maakt de vervolging en preventie van ransomware-aanvallen als geheel moeilijker.

Hoe te beschermen tegen initiële toegangsmakelaars

Initial access brokers richten zich niet op particulieren, het is gewoon niet rendabel om dat te doen. In plaats daarvan richten ze zich op bedrijven. Als u de leiding heeft over een potentieel waardevol netwerk, zijn er veel stappen die u kunt nemen om de toegang te bemoeilijken.

  • Alle software moet up-to-date worden gehouden met patches die onmiddellijk na release worden geïnstalleerd. Dit voorkomt dat kwaadwillende actoren bekende kwetsbaarheden misbruiken.
  • Iedereen met toegang tot een netwerk moet nadenken over de dreiging van zowel phishing- als spear-phishing-e-mails.
  • Het gebruik van sterke wachtwoorden moet onder alle gebruikers worden afgedwongen. Ook moet worden voorkomen dat gebruikers hetzelfde wachtwoord in meerdere accounts gebruiken.
  • Het gebruik van multi-factor authenticatie moet worden afgedwongen. Als toegang tot een netwerk een extra vorm van authenticatie vereist, worden gestolen gebruikersreferenties ondoeltreffend.

Initial Access Brokers zijn een belangrijke bedreiging om op te letten

Initiële toegangsmakelaars zijn een belangrijke bedreiging voor bedrijven om zich bewust van te zijn. Zodra ze toegang hebben tot een netwerk, adverteren ze de kans op het dark web en geven ze de inloggegevens aan de hoogste bieder.

Dit biedt de koper de mogelijkheid om informatie te stelen of ransomware te installeren, wat een aanzienlijke financiële uitgave vereist om te repareren.

Om dit soort inbraak te voorkomen, is het belangrijk om netwerken te beveiligen door de software regelmatig bij te werken en ervoor te zorgen dat alle gebruikers verantwoordelijk handelen.

Hoe hackers onze eigen technologie tegen ons gebruiken

Lees volgende

DelenTweetenDelenE-mail

Gerelateerde onderwerpen

  • Beveiliging
  • Cyberbeveiliging
  • Ransomware

Over de auteur

Elliot Nesbo (92 artikelen gepubliceerd)

Elliot is een freelance technisch schrijver. Hij schrijft vooral over fintech en cybersecurity.

Meer van Elliot Nesbo

Abonneer op onze nieuwsbrief

Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!

Klik hier om je te abonneren