Det finns en ökande efterfrågan på tjänster från Initial Access Brokers (IAB) och åtkomstuppgifter i molnbaserade cyberattacker.
På tisdagen publicerade Lacework sin 2021 Cloud Threat Report vol.2, som beskriver hur dagens it -kriminella försöker skära bort några av de ben som ingår i kampanjer mot molntjänstleverantörer.
Under det här året har molnsäkerhetsföretagets team observerat ett antal trender i molnutrymmet, inklusive ökad efterfrågan på IAB.
Initial Access Brokers, som dokumenterats av KELA, är individer eller grupper som har lyckats säkra åtkomst till ett målsystem. Åtkomst kan ha erhållits genom svaga, trasiga eller stulna referenser; en insider, eller som en sårbarhet.
Genomsnittspriset för nätverksåtkomst, enligt analysen av teamet, är för närvarande 5 400 dollar, medan medianpriset är 1 000 dollar, beroende på vilken åtkomstnivå som erhålls och målorganisationen.
Ransomware -grupper har intresserat sig för IAB: er, och vid sidan av dessa grupper försöker andra hotaktörer som fokuserar på att utnyttja molntjänster också att rekrytera IAB: er för sina egna ändamål.
Lacework säger att under de senaste månaderna verkar administratörsuppgifter som erhållits av IAB: er ha blivit en populär resurs för angripare. Dessutom fortsätter skanning och sondering av lagringshinkar, onlinedatabaser, inloggningsplattformar och orkestreringssystem att öka.
“Det som började som enstaka marknadsföringsposter fortsätter att eskalera när kriminella börjar förstå och operera nyttan av tillgång till molntjänster utöver kryptovaluta-gruvdrift”, säger teamet.
Rapporten utforskar också den senaste TeamTNT -kriminella verksamheten mot molntjänster. TeamTNT-botnätet, som först upptäcktes 2020, är känt för att installera malware-mining-malware på sårbara behållare.
TeamTNT letar efter exponerade Docker -API: er för att distribuera skadliga Docker -bilder, och i många fall övertas offentliga Docker -arkiv genom komprometterade konton för att vara värd för skadlig kod.
En annan taktik är att utnyttja kanarie -tokens. Teamet misstänker att den legitima tjänsten canarytokens.org, som används för att varna användare när en resurs har nåtts, också har missbrukats för att meddela ransomware -operatörer om att malware kan köras på ett offers system.
Ytterligare intressanta platser inkluderar honeypot -data som samlats in av företaget, vilket tyder på att SSH-, SQL-, Docker- och Redis -tjänster är vanligast riktade. Tor används ofta när AWS -miljöer är riktade; zgrab -skannern används för att undersöka Docker API: er för svagheter; och när det gäller Redis används kommandoradsgränssnittets INFO -kommando oftast för att samla in data om målsystem.
Tidigare och relaterad täckning
Molnsäkerhet 2021: En affärsguide för viktiga verktyg och bästa praxis
Molnsäkerhet: “Misstänkta övermänniskor” bakom ökningen av attacker mot onlinetjänster
Vad är cloud computing? Allt du behöver veta om molnet förklarat
Har du ett tips? Hör av dig säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Cloud Security TV Data Management CXO Data Center