Det er en økende etterspørsel etter tjenestene til Initial Access Brokers (IABs) og tilgang til legitimasjon i skybaserte cyberangrep.
Tirsdag publiserte Lacework sin 2021 Cloud Threat Report vol.2, som beskriver hvordan dagens cyberkriminelle prøver å kutte ut noen av legworkene som er involvert i kampanjer mot skytjenesteleverandører.
I løpet av dette året har teamet til skysikkerhetsfirmaet observert en rekke merkbare trender i skyområdet, inkludert økt etterspørsel etter IAB.
Initial Access Brokers, som dokumentert av KELA, er enkeltpersoner eller grupper som har klart å sikre tilgang til et målsystem. Tilgang kan ha blitt oppnådd gjennom svake, ødelagte eller stjålne legitimasjoner; en innsider, eller som sårbarhet.
Gjennomsnittsprisen på nettverkstilgang, som analysert av teamet, er for tiden $ 5.400, mens medianprisen er $ 1.000, avhengig av tilgangsnivået og målorganisasjonen.
Ransomware -grupper har interessert seg for IAB -er, og ved siden av disse gruppene prøver andre trusselaktører som er fokusert på å utnytte skytjenester, også å rekruttere IAB -er for egne formål.
Lacework sier at i løpet av de siste månedene ser det ut til at administratorlegitimasjon fra IAB har blitt en populær ressurs for angripere. I tillegg fortsetter skanningen og sonderingen av lagringsbøtter, online databaser, påloggingsplattformer og orkestreringssystemer.
“Det som startet som engangsposter på markedsplassen fortsetter å eskalere etter hvert som kriminelle begynner å forstå og operasjonalisere nytten av tilgang til skytjenester utover kryptovaluta-gruvedrift,” sier teamet.
Rapporten utforsker også de siste TeamTNT -kriminelle operasjonene mot skytjenester. TeamTNT-botnettet, først oppdaget tilbake i 2020, er kjent for å installere kryptovaluta-mining malware på sårbare containere.
TeamTNT jakter på eksponerte Docker API -er for å distribuere ondsinnede Docker -bilder, og i mange tilfeller blir offentlige Docker -lagre overtatt gjennom kompromitterte kontoer for å være vert for skadelig programvare.
En annen taktikk er å utnytte kanariske tokens. Teamet mistenker at den legitime canarytokens.org -tjenesten, som brukes til å varsle brukere når en ressurs har blitt åpnet, også har blitt misbrukt for å varsle ransomware -operatører om utførelse av skadelig programvare på offerets system.
Andre interessepunkter inkluderer honeypot -data samlet inn av firmaet, noe som tyder på at SSH-, SQL-, Docker- og Redis -tjenester er mest målrettet. Tor brukes ofte når AWS -miljøer er målrettet; zgrab -skanneren brukes til å undersøke Docker API -er for svakheter; og når det gjelder Redis, brukes INFO -kommandoen på kommandolinjegrensesnittet oftest for å hente data om målsystemer.
Tidligere og relatert dekning
Skysikkerhet i 2021: En forretningsguide til viktige verktøy og beste fremgangsmåter
Skysikkerhet: “Mistenkelige overmennesker” bak økende angrep på nettjenester
Hva er cloud computing? Alt du trenger å vite om skyen forklart
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Cloud Security TV Data Management CXO Data Centers