Cybercriminelen bieden initiële toegang voor netwerken van belangrijke spelers in wereldwijde toeleveringsketens, waarschuwen onderzoekers.
Op dinsdag publiceerde Intel 471 een analyse van de huidige trends op de zwarte markt online, waarbij voorbeelden werden onthuld van initiële toegangsmakelaars (IAB's) die toegang bieden tot internationale scheepvaart- en logistieke bedrijven over de grond, door de lucht en over zee.
Wereldwijde toeleveringsketens hebben sinds het begin van de COVID-19-pandemie te maken gehad met ernstige omwentelingen. De problemen gaan verder dan chiptekorten – lockdowns en sluitingen hebben wereldwijd achterstanden veroorzaakt, en terwijl we langzaam uit de pandemie komen, blijft de vraag naar alles, van voedsel tot elektronica, hoog.
Dit is misschien de reden waarom organisaties die de ruggengraat vormen van vrachtvervoer en goede leveringen, de interesse hebben gewekt van cybercriminelen, waaronder ransomware-operators.
Toegang wordt normaal gesproken verkregen via kwetsbaarheden in Remote Desktop Protocol (RDP), virtuele privénetwerken (VPN), Citrix, SonicWall, verkeerde configuraties en brute-force-aanvallen, evenals diefstal van referenties.
Hoewel we ons al in een onstabiele en precaire positie bevinden – vooral nu we de winter ingaan – “zou een cyberbeveiligingscrisis bij een van deze logistieke en rederijen een rampzalige impact kunnen hebben op de wereldwijde consumenteneconomie”, aldus de onderzoekers.
Met dit in gedachten heeft Intel 471 de afgelopen maanden Dark Web-vermeldingen onderzocht om te zien hoe vaak IAB-vermeldingen met betrekking tot de wereldwijde toeleveringsketen voorkomen.
Er zijn verschillende opmerkelijke gevallen van zowel bekende IAB's als nieuwkomers. In juli beweerden twee handelaren dat ze de toegang tot de netwerken van een Japans scheepvaartbedrijf hadden beveiligd, naast werkende, gestolen accountgegevens. Dit aanbod was opgenomen in een bredere dump van ongeveer 50 organisaties.
In augustus zei een handelaar en medewerker van de Conti ransomware-groep dat ze netwerken hadden geïnfiltreerd die toebehoorden aan een Amerikaanse leverancier van transport- en vrachtwagensoftware, evenals een reus van goederentransport.
Volgens het cyberbeveiligingsbedrijf had deze acteur Conti eerder toegang gegeven tot een botnet met een virtual network computing (VNC)-functie, waardoor ze “een Cobalt Strike-beacon konden downloaden en uitvoeren op geïnfecteerde machines, zodat groepsleden die verantwoordelijk zijn voor het doorbreken van computernetwerken rechtstreeks toegang gekregen via een Cobalt Strike beacon-sessie.”
Een bericht dat in september werd gepubliceerd door een IAB die was gelinkt aan de FiveHands ransomware-groep, bood toegang tot “honderden” bedrijven, waaronder een logistiek bedrijf in het Verenigd Koninkrijk, terwijl in andere berichten op cybercriminele fora toegang tot een transportbedrijf in Bangladesh werd beveiligd. door een PulseSecure VPN-beveiligingsfout — lokale beheerdersrechten in een Amerikaanse vrachtorganisatie en een pakket referenties inclusief accounttoegang voor een logistiek bedrijf in Maleisië werden ook aangeboden.
“De logistieke sector wordt voortdurend aangevallen en de gevolgen van een cyberaanval kunnen een verlammend rimpeleffect hebben op de wereldeconomie [..] Het is buitengewoon gunstig dat beveiligingsteams in de scheepvaartindustrie tegenstanders in de gaten houden en volgen, hun tools en kwaadaardig gedrag om aanvallen van deze criminelen te stoppen”, zeggen de onderzoekers. “Het proactief aanpakken van kwetsbaarheden in tijden van hoge alertheid vermijdt verdere stress op reeds beperkte bedrijfsactiviteiten.”
Eerdere en gerelateerde berichtgeving
Dit is het perfecte slachtoffer van ransomware, volgens cybercriminelen
Het perfecte doelwit van ransomware: waarom een branche de cyberbeveiliging moet verbeteren voordat het te laat is
Hackers richten zich op transport en rederijen in nieuwe trojan malware-campagne
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Security TV | Gegevensbeheer | CXO | Datacenters