29/09/22
Исследователи изучили почти 700 инцидентов с программами-вымогателями на оптовых рынках доступа (Wholesale Access Markets, WAM) — платформах, где люди продают доступ к скомпрометированным конечным точкам, доступ по различным удаленным протоколам, таким как RDP, и т. д.
Из 3612 атак в 2021 году, расследованных аналитиками охранной фирмы CyberSixgill , 686 атак были связаны с доступом к системе, зарегистрированной в домене организации, который продавался на WAM в течение 180 дней до атаки. 85 атак были связаны с доступом к внутренней машине, которая была скомпрометирована в течение 30 дней после атаки.
Исследователи CyberSixgill предупредили, что их данные слишком запутанные, поэтому трудно доказать причинно-следственную связь, отмечает Securitylab. Однако, их предварительные выводы показывают, что оптовые рынки доступа являются популярным способом, который вымогатели используют для получения доступа к сети жертвы.
По словам экспертов, пока покупатели доступа безнаказанно получают огромную прибыль, эти рынки будут продолжать вносить существенный вклад в экономику киберпреступности.
CyberSixgill сравнил WAM с брокерами начального доступа ( Initial Access Brokers, IAB ). IAB продает доступ к компаниям за сотни тысяч долларов, а WAM предлагает более дешевый доступ к определенным скомпрометированным устройствам за $10. Однако, эта небольшая первоначальная инвестиция для атаки в конечном итоге может принести миллионы.
.png?width=716&name=content-img(523).png)
Брокеры IAB более подробно описывают жертву, в сравнении с WAM. Брокеры пишут, как был получен доступ, что этот доступ предлагает киберпреступнику и многое другое.
Продавцы IAB пользуются большим доверием и имеют хорошую репутацию, которую они пытаются поддерживать, в то время как WAM фактически являются «барахолками». «Цены низкие, запасы огромные, а качество не гарантировано», — говорят исследователи о WAM.
Несмотря на то, что рынки WAM являются основным инструментом вымогателей, большинство киберпреступников на рынках – неопытные хакеры. Эксперты предполагают, что большинство взломов, начавшихся на WAM, представляют из себя меньшее число действий и менее изощренные атаки.
