Nettkriminelle tilbyr førstegangstilgang for nettverk som tilhører nøkkelaktører i globale forsyningskjeder, advarer forskere.
Tirsdag publiserte Intel 471 en analyse av gjeldende svartemarkedstrender på nettet, og avslørte tilfeller av innledende tilgangsmeglere (IAB) som tilbyr tilgang til internasjonale shipping- og logistikkselskaper over bakken, luften og havet.
Globale forsyningskjeder har møtt alvorlige omveltninger siden starten av COVID-19-pandemien. Problemene går utover chipmangel – nedstengninger og nedleggelser har forårsaket etterslep over hele verden, og ettersom vi sakte kommer ut av pandemien, er etterspørselen etter alt fra mat til elektronikk fortsatt høy.
Dette kan være grunnen til at organisasjoner som gir ryggraden i godstransport og gode leveranser har fanget interessen til nettkriminelle, inkludert løsepengevareoperatører.
Tilgang oppnås vanligvis gjennom sårbarheter i Remote Desktop Protocol (RDP), virtuelle private nettverk (VPN), Citrix, SonicWall, feilkonfigurasjoner og brute-force-angrep, samt legitimasjonstyveri.
Mens vi allerede er i en flyktig og prekær posisjon – spesielt når vi går mot vinteren – “kan en cybersikkerhetskrise hos et av disse logistikk- og shippingselskapene ha en katastrofal innvirkning på den globale forbrukerøkonomien,” ifølge forskerne.
Med dette i tankene har Intel 471 undersøkt Dark Web-oppføringer de siste månedene for å se hvor utbredt IAB-oppføringer knyttet til den globale forsyningskjeden er.
Det er flere tilfeller av notater fra både kjente IABer og nykommere. I juli hevdet to handelsmenn å ha sikret seg tilgang til et japansk shippingfirmas nettverk, sammen med fungerende, stjålet kontolegitimasjon. Dette tilbudet ble inkludert i en bredere dump på rundt 50 organisasjoner.
I august sa en handelsmann og medarbeider i Conti ransomware-gruppen at de hadde infiltrert nettverk som tilhørte en amerikansk programvareleverandør for transport og lastebiltransport, samt en varetransportgigant.
I følge cybersikkerhetsfirmaet hadde denne skuespilleren tidligere gitt Conti tilgang til et botnett inkludert en virtuell nettverksdatabehandling (VNC) funksjon, slik at de kunne “laste ned og utføre et Cobalt Strike-fyrtårn på infiserte maskiner, så gruppemedlemmer som er ansvarlige for brudd på datanettverk fikk tilgang direkte via en Cobalt Strike-beacon-økt.”
Et innlegg publisert i september av en IAB knyttet til FiveHands ransomware-gruppen ga tilgang til «hundrevis» av selskaper, inkludert et logistikkselskap i Storbritannia, mens det i andre innlegg på nettkriminelle fora ble sikret tilgang til et shippingfirma i Bangladesh. gjennom en PulseSecure VPN-sikkerhetsfeil — lokale administratorrettigheter i en amerikansk fraktorganisasjon, og en pakke med legitimasjon inkludert kontotilgang for et logistikkselskap i Malaysia ble også tilbudt.
“Logistikkindustrien er konstant målrettet, og konsekvensene av et nettangrep kan ha en lammende ringvirkning på den globale økonomien [..] Det er ekstremt fordelaktig at sikkerhetsteam i shippingindustrien overvåker og sporer motstandere, deres verktøy og ondsinnede oppførsel for å stoppe angrep fra disse kriminelle,” sier forskerne. “Proaktiv håndtering av sårbarheter i tider med høy beredskap unngår ytterligere stress på allerede begrensede forretningsdrifter.”
Tidligere og relatert dekning
Dette er det perfekte løsepenge-offeret, ifølge nettkriminelle
Ransomwares perfekte mål: Hvorfor én bransje trenger å forbedre cybersikkerheten før det er for sent
Hackere målretter mot transport og rederier i ny trojansk malware-kampanje
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Security TV | Databehandling | CXO | Datasentre