Cyberkriminelle verkaufen Zugang zu Unternehmensnetzwerken, um schnell Geld zu verdienen

Cyberkriminelle verkaufen Zugang zu Unternehmensnetzwerken, um schnell Geld zu verdienen

Angreifer richten sich an Managed Service Provider (MSPs), um Zugriff auf Client-Organisationen zu erhalten.
Die Preise für verschiedene Zugangsniveaus, die von Cyberkriminellen verkauft werden, beginnen ab 1000 US-Dollar.
Das Durchbrechen der Netzwerke ihrer Opferorganisationen, um Malware bereitzustellen, ist möglicherweise nicht immer das ultimative Motiv für Angreifer. Cyberkriminelle sind jetzt einen Schritt voraus und bieten Zugang zu diesen kompromittierten Netzen zu unterschiedlichen Preisen auf unterirdischen Märkten.

Was ist der angebotene Preis?

Den Käufern auf dunklen Webmärkten wird der Zugriff auf ein gefährdetes Netzwerk zu einem Preis angeboten, der bei 1000 US-Dollar beginnt. Der Preis kann bis zu 4500 US-Dollar betragen, je nachdem, wie tief die Hacker eingedrungen sind.

Welches ist die am meisten anvisierte Branche?

Unternehmen aus verschiedenen Sektoren wurden verletzt. Es sind jedoch die Managed Service Provider (MSPs), die die meisten Angriffe von Cyberkriminellen verzeichnen.

SentinelOne berichtet, dass in den letzten 3 bis 4 Jahren mehrere Angriffe auf MSPs von verschiedenen berüchtigten Ransomware wie Snatch Ransomware, Sodinokibi, Ryuk und Maze stattgefunden haben.

MSPs sind lukrative Ziele für Angreifer, da sie mehrere Ziele oder Umgebungen erreichen können, indem nur ein einziger MSP gefährdet wird. In einigen Situationen können MSPs auch dazu missbraucht werden, die Persistenz in einem Netzwerk zu erhöhen, während sie der Erkennung durch bestimmte Sicherheitskontrollen wie Firewalls und Intrusion Detection Systems (IDS) entgehen.

Welche Dienste von MSPs werden im Dark Web angeboten?

Kriminelle Anbieter bieten eine Vielzahl von MSP-Diensten an, die von einzelnen oder privilegierten Konten abhängen. Diese Konten für Sicherheitsverletzungen können es einem schlechten Schauspieler ermöglichen, eine vollständige Persistenz auf Root-Shells oder Remote-Konsolen zu erlangen.

Zu den von Bedrohungsakteuren angebotenen Zugriffsarten gehören:

Sätze von Anmeldeinformationen auf Führungsebene,
Verwaltung verschiedener Content-Management-Portale (Anwaltskanzleien, Schulen, Krankenhäuser),
Direktmailserverzugriff und
Voller “root” Zugriff auf * alles *.
Verteidigungsberatung

Unternehmen können das Risiko verringern, dass ein Eindringling in ihrem Netzwerk Fuß fasst oder sich seitwärts bewegt, indem sie Sicherheitsvorkehrungen treffen, wie z.

Multi-Faktor-Authentifizierung aktivieren;
Netzwerktrennung;
Überwachung des Netzwerkverkehrs zu und von öffentlichen Diensten für gemeinsame Nutzung und Zusammenarbeit;
Einschränkung der Verwendung von bekannten Tools wie Mimikatz, PStools, VNC, TeamViewer usw.