Der er en stigende efterspørgsel efter tjenester fra Initial Access Brokers (IAB'er) og adgangsoplysninger i skybaserede cyberangreb.
Tirsdag offentliggjorde Lacework sin 2021 Cloud Threat Report vol.2, der skitserede, hvordan nutidens cyberkriminelle forsøger at afskære nogle af de arbejde, der er involveret i kampagner mod cloud -tjenesteudbydere.
I løbet af dette år har cloud -sikkerhedsfirmaets team observeret en række notater i cloud -rummet, herunder øget efterspørgsel efter IAB'er.
Initial Access Brokers, som dokumenteret af KELA, er enkeltpersoner eller grupper, der har formået at sikre adgang til et målsystem. Adgang kan være opnået gennem svage, ødelagte eller stjålne legitimationsoplysninger; en insider eller som sårbarhed.
Gennemsnitsprisen for netværksadgang, som analyseret af teamet, er i øjeblikket 5.400 dollars, mens medianprisen er $ 1.000, afhængigt af det opnåede adgangsniveau og målorganisationen.
Ransomware -grupper har interesseret sig for IAB'er, og sideløbende med disse grupper forsøger andre trusselsaktører, der er fokuseret på at udnytte cloud -tjenester, også at rekruttere IAB'er til deres eget formål.
Lacework siger, at i løbet af de sidste par måneder ser det ud til, at administratoroplysninger opnået af IAB'er er blevet en populær ressource for angribere. Derudover fortsætter scanningen og sonderingen af opbevaringsspande, onlinedatabaser, loginplatforme og orkestrationssystemer.
“Det, der startede som engangsposter på markedspladsen, fortsætter med at eskalere, efterhånden som kriminelle begynder at forstå og operationalisere nytteværdien af adgang til cloud-tjenester ud over cryptocurrency mining,” siger teamet.
Rapporten undersøger også de seneste TeamTNT -kriminelle operationer mod skytjenester. TeamTNT-botnet, der først blev opdaget tilbage i 2020, er kendt for at installere malware til minedrift med kryptokurrency på sårbare containere.
TeamTNT er på jagt efter udsatte Docker API'er til at implementere ondsindede Docker -billeder, og i mange tilfælde overtages offentlige Docker -lagre via kompromitterede konti til at være vært for malware.
En anden taktik er at udnytte kanariske tokens. Teamet formoder, at den legitime canarytokens.org -tjeneste, der bruges til at advare brugere, når der er adgang til en ressource, også er blevet misbrugt til at underrette ransomware -operatører om malware -udførelse på et ofres system.
Yderligere interessepunkter omfatter honeypot -data indsamlet af firmaet, hvilket tyder på, at SSH-, SQL-, Docker- og Redis -tjenester oftest målrettes. Tor bruges ofte, når AWS -miljøer er målrettet; zgrab -scanneren bruges til at undersøge Docker API'er for svagheder; og når det kommer til Redis, bruges kommandolinjegrænsefladen INFO -kommando mest til at indsamle data vedrørende målsystemer.
Tidligere og relateret dækning
Cloud -sikkerhed i 2021: En virksomhedsguide til vigtige værktøjer og bedste praksis
Cloud -sikkerhed: 'Mistænkelige overmennesker' bag stigningen i angreb på onlinetjenester
Hvad er cloud computing? Alt hvad du behøver at vide om skyen forklaret
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Cloud Security TV Data Management CXO Data Centers