Er is een toenemende vraag naar de diensten van Initial Access Brokers (IAB's) en toegangsreferenties bij cloudgebaseerde cyberaanvallen.
Op dinsdag publiceerde Lacework haar 2021 Cloud Threat Report vol.2, waarin wordt geschetst hoe de hedendaagse cybercriminelen proberen een deel van het werk weg te nemen dat betrokken is bij campagnes tegen cloudserviceproviders.
In de loop van dit jaar heeft het team van het cloudbeveiligingsbedrijf een aantal opmerkelijke trends waargenomen in de cloudruimte, waaronder een toegenomen vraag naar IAB's.
Initial Access Brokers, zoals gedocumenteerd door KELA, zijn individuen of groepen die erin geslaagd zijn de toegang tot een doelsysteem te beveiligen. Toegang kan zijn verkregen via zwakke, gebroken of gestolen inloggegevens; een insider, of door middel van een kwetsbaarheid.
De gemiddelde prijs van netwerktoegang, zoals geanalyseerd door het team, is momenteel $ 5.400, terwijl de mediaanprijs $ 1.000 is, afhankelijk van het verkregen toegangsniveau en de doelorganisatie.
Ransomwaregroepen hebben interesse getoond in IAB's en naast deze groepen proberen ook andere bedreigingsactoren die zich richten op het exploiteren van cloudservices IAB's voor hun eigen doeleinden te werven.
Lacework zegt dat de beheerdersreferenties die door IAB's zijn verkregen de afgelopen maanden een populaire bron voor aanvallers lijken te zijn geworden. Daarnaast wordt er steeds meer gescand en gepeild naar storagebuckets, online databases, loginplatforms en orkestratiesystemen.
“Wat begon als eenmalige berichten op de markt, blijft escaleren nu criminelen het nut van toegang tot cloudservices beginnen te begrijpen en te operationaliseren die verder gaan dan cryptocurrency-mining”, zegt het team.
Het rapport onderzoekt ook de nieuwste criminele activiteiten van TeamTNT tegen cloudservices. Het TeamTNT-botnet, voor het eerst gespot in 2020, staat erom bekend cryptocurrency-mining-malware op kwetsbare containers te installeren.
TeamTNT zoekt naar blootgestelde Docker-API's om kwaadaardige Docker-images in te zetten, en in veel gevallen worden openbare Docker-repositories overgenomen via gecompromitteerde accounts om malware te hosten.
Een andere opvallende tactiek is de exploitatie van kanarie-tokens. Het team vermoedt dat de legitieme canarytokens.org-service, die wordt gebruikt om gebruikers te waarschuwen wanneer een bron is gebruikt, ook is misbruikt om ransomware-operators op de hoogte te stellen van de uitvoering van malware op het systeem van een slachtoffer.
Bijkomende aandachtspunten zijn onder meer honeypot-gegevens die door het bedrijf zijn verzameld, wat suggereert dat SSH-, SQL-, Docker- en Redis-services het meest worden getarget. Tor wordt vaak gebruikt wanneer AWS-omgevingen het doelwit zijn; de zgrab-scanner wordt gebruikt om Docker-API's te onderzoeken op zwakke punten; en als het op Redis aankomt, wordt de opdrachtregelinterface INFO-opdracht het meest gebruikt om gegevens over doelsystemen te verzamelen.
Eerdere en gerelateerde berichtgeving
Cloudbeveiliging in 2021: een zakelijke gids voor essentiële tools en best practices
Cloudbeveiliging: 'verdachte supermensen' achter de toename van aanvallen op online services
Wat is cloudcomputing? Alles wat je moet weten over de cloud uitgelegd
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Cloud Security TV Data Management CXO Datacenters 