09/11/21
Команда исследователей из BlackBerry рассказала подробности о группе брокеров начального доступа под названием Zebra2104, связанной с тремя различными киберпреступными группировками — MountLocker, Phobos и StrongPity (также известной как Promethium).
Так называемые брокеры, предоставляющие начальный доступ к сетям, стараются взломать как можно больше организаций, но не пользуются возможностью для кражи данных или вмешательства в работу компьютерных систем, а продают этот доступ другим киберперступникам, в том числе операторам программ-вымогателей и APT-группировкам.
«Брокеры сначала получают доступ к сети жертвы, а затем продают этот доступ тому, кто предложит самую высокую цену на подпольных форумах в даркнете. Позже победитель торгов часто будет развертывать программы-вымогатели и/или другие вредоносные программы в сети жертвы, в зависимости от целей кампании», — отметили исследователи BlackBerry.
По результатам анализа более 1 тыс. списков доступа, выставленных на продажу брокерами на подпольных форумах в темной сети, эксперты узнали, что средняя стоимость доступа к сети составляет $5,4 тыс. в период с июля 2020 года по июнь 2021 года. Наиболее ценные предложения включали права администратора домена в корпоративных сетях.
Расследование экспертов началось с домена под названием trashborting[.]com, с которого загружались маяки Cobalt Strike. Некоторые из полезных нагрузок программ-вымогателей были нацелены на австралийские компании по недвижимости и правительственные ведомства в сентябре 2020 года. Еще один домен supercombinating[.]com, зарегистрированный вместе с trashborting[.]com, связан с деятельностью MountLocker и Phobos.
