Marktanalyse für Erstzugänge

Marktanalyse für Erstzugänge

Marktanalyse für Erstzugänge

Experten haben die Anzeigen im Darknet untersucht und herausgefunden, wie viel der Zugriff auf die Infrastruktur Ihres Unternehmens kosten könnte. Wenn die Nachrichten schreiben, dass das nächste Unternehmen verschlüsselt und jetzt erpresst wird, haben viele ein Bild von schlauen Hackern im Kopf, die zuerst eine gefährliche Malware erstellt haben, dann lange und hartnäckig nach einem Weg gesucht haben, das Unternehmen zu «hacken» — und schließlich verschlüsselt haben. Aus diesem Grund sind sich einige Geschäftsinhaber immer noch sicher, dass «mein Unternehmen nicht so interessant ist, dass Angreifer Ressourcen ausgeben, um es zu hacken.» Eigentlich passiert alles ganz anders. Der echte Angreifer schreibt die Malware nicht selbst, sondern nimmt sie zur Miete, und er gibt auch keine Ressourcen aus, um sie zu hacken — er wendet sich einfach an den Schattenmarkt des ursprünglichen Zugangs. Im Rahmen des Digital Footprint Intelligence-Dienstes haben unsere Experten herausgefunden, für wie viel Sie den Zugang zur Unternehmensinfrastruktur kaufen und verkaufen können.

Wie hoch ist der Zugang? Für wie viel können sich Angreifer also Zugang zu Ihrer Infrastruktur verschaffen? Das hängt natürlich von vielen Faktoren ab, aber sie konzentrieren sich in erster Linie auf den Umsatz des Unternehmens. Nach der Analyse von rund zweihundert Anzeigen kamen die Experten zu folgenden Schlussfolgerungen: Die meisten Anzeigen bieten Zugang zu kleinen Unternehmen; Fälle, in denen der Zugang für mehr als 5000 Dollar teurer ist, sind selten; die Kosten für den Zugang zu großen Unternehmen liegen im Durchschnitt zwischen 2000 und 4000 Dollar; In fast der Hälfte der Anzeigen wird der Zugang zu weniger als 1000 Dollar angeboten.

Zustimmen, nicht die beeindruckendsten Summen. Die gleichen Betreiber von Ransomware-Verschlüsselern erwarten einen viel ernsteren Nutzen, so dass sie in die Organisation des Angriffs investieren können.

Was wird gehandelt? Angreifer bieten verschiedene Arten von Zugriff an. Manchmal handelt es sich um Informationen über eine Sicherheitsanfälligkeit, die für den Zugriff ausgewertet werden können. Manchmal - Anmeldeinformationen für den Zugriff auf Citrix oder das Hosting-Panel der Website. Aber in der überwiegenden Mehrheit der Fälle (mehr als 75% der Anzeigen) geht es um den einen oder anderen Zugriff über RDP (manchmal in Verbindung mit einem VPN). Dies deutet darauf hin, dass diese Option für den Fernzugriff auf die Unternehmensinfrastruktur mit höherer Aufmerksamkeit behandelt werden sollte.

Woher kommt die Ware? Es gibt natürlich viele Möglichkeiten, einen ersten Zugang zu erhalten. Es gibt sogar die einfachsten Optionen mit der Auswahl von Passwörtern. Meistens handelt es sich jedoch um Phishing-E-Mails, die an die Adressen von Mitarbeitern gesendet werden, E-Mails mit schädlichen Anhängen (Spyware oder zum Beispiel Styler, die automatisch Anmeldeinformationen von infizierten Geräten, Autorisierungstoken, Cookies usw. sammeln). Manchmal nutzen Angreifer auch bekannte Sicherheitslücken in der Software aus, bevor sie patchen können.

Detaillierte Forschungsergebnisse mit Beispielen für echte Anzeigen zum Verkauf von Erstzugängen finden Sie in einem Bericht auf der Securelist-Website.

Wie bleibe ich sicher? Da es sich bei dem Verkauf am häufigsten um einen Remote-Zugriff auf die Infrastruktur eines Unternehmens über RDP handelt, sollten Sie diese zuerst schützen. Unsere Experten geben folgende Tipps: RDP-Zugriff nur über VPN organisieren; sichere Passwörter verwenden; verwenden Sie Network Level Authentication (wenn möglich); Verwenden Sie die Zwei-Faktor-Authentifizierung für alle kritischen Dienste.

Damit Passwörter aufgrund von Phishing seltener ablaufen, wird auch empfohlen, zuverlässige Sicherheitslösungen mit einer Antiphishing-Engine sowohl auf den Geräten der Mitarbeiter als auch auf der E-Mail-Gateway-Ebene zu verwenden. Und für die Treue, das Personal regelmäßig für moderne Cyberbedrohungen zu sensibilisieren.

Außerdem ist es hilfreich zu wissen, ob bereits im Darknet über den Verkauf von Daten für den Zugriff auf Ihr Unternehmen diskutiert wird.