Initial Access Brokers: de onmisbare schakel in de cybercrime-toeleveringsketen

Door Phil Muncaster • 17 oktober 2024

Dit jaar lijkt een recordjaar te worden voor ransomware-groepen. Blockchain-analyse onthult dat de "instroom" naar cryptocurrency-adressen die geassocieerd worden met criminelen in de eerste helft van 460 $2024 miljoen bereikte, een stijging ten opzichte van $449 miljoen in dezelfde periode vorig jaar. En de mediane losgeldbetaling voor enkele van de meest productieve ransomware-groepen is gestegen van iets minder dan $200,000 begin 2023 tot $1.5 miljoen medio juni 2024.

Er zijn veel redenen waarom ransomware-groepen, en de cybercrime underground in het algemeen, blijven floreren. Maar een groot deel van hun succes ligt bij de initial access broker (IAB): een cruciale speler in de cybercrime supply chain. Het vinden van een manier om hun tactieken, technieken en procedures (TTP's) te beperken, is van vitaal belang als organisaties hun blootstelling aan financiële en reputatierisico's willen minimaliseren.

Ogen op de Prijs

Op een heel eenvoudig niveau zijn IAB's zo belangrijk omdat ze zich op één ding richten en dat uitzonderlijk goed doen. Door zich alleen op de eerste fase van een aanval te concentreren, isoleren ze zichzelf van de wetshandhaving, iets wat ze ook bereiken door privé samen te werken met ransomware-as-a-service (RaaS)-partners. Aan de andere kant, door het uitbesteden aan de IAB van het tijdrovende werk van het selecteren van doelen en het verkrijgen van toegang tot slachtofferorganisaties, kunnen andere cybercriminelen meer tijd besteden aan het opschalen van hun inspanningen.

Wanneer ze niet privé met RaaS-groepen werken, vermelden IAB's hun diensten op hackingforums, waardoor onderzoekers een beter geïnformeerd beeld van de markt kunnen krijgen. Volgens een nieuwe Cyberint-rapportSommige bieden bundelaanbiedingen aan, terwijl andere de toegang afzonderlijk verkopen. Bovendien kunnen zeer betrouwbare personen van kopers eisen dat zij rechtstreeks contact met hen opnemen, zonder dat zij enige informatie hoeven te verstrekken.

Het rapport benadrukt drie hoofdtypen IAB. Degenen die toegang verkopen tot:

Systemen die gecompromitteerd zijn door backdoors en andere malware die op netwerkcomputers zijn geïnstalleerd
Servers gecompromitteerd via brute-force Remote Desktop Protocol (RDP)
Gecompromitteerde netwerkapparaten, zoals VPN-servers en firewalls, die een opstap vormen naar het bedrijfsnetwerk

Volgens Cyberint was RDP-toegang het meest gebruikelijk in 2023, goed voor meer dan 60% van de IAB-vermeldingen. Tot nu toe is RDP-toegang dit jaar (41%) echter uitgedaagd door VPN-compromissen (45%).

Andere toegangstypen zijn:

E-mail: Vaak via gecompromitteerde inloggegevens, waardoor aanvallers e-mails kunnen lezen, verzenden en manipuleren
Database: Via gestolen inloggegevens of misbruik van kwetsbaarheden
Webshell: Dit zijn scripts waarmee kwaadwillenden op afstand opdrachten op een doelserver kunnen beheren/uitvoeren
Shell-/opdrachtregeltoegang: Het bieden van een opdrachtregelinterface aan een gecompromitteerd systeem, waardoor directe uitvoering van opdrachten mogelijk is
Bestandsdeling: Toegang tot gedeelde schijven en bestandsservers, vaak via gecompromitteerde inloggegevens of laterale verplaatsing

IAB's kunnen hun verkopen ook per privilegetype vermelden - domeinbeheerder, lokale beheerder of domeingebruiker - waarbij de hogere privilegetoegang meer kost. Hoewel toegang tot sommige waardevolle omgevingen kan resulteren in vermeldingen met een prijs van meer dan $ 10,000, vallen de meeste IAB-berichten tussen $ 500 en $ 2000. Dat is een indicatie van de gecommoditiseerde aard van de markt. Hoewel IAB's zich steeds meer richten op slachtoffers van bedrijven met hoge inkomsten, is de gemiddelde prijs voor vermeldingen met 60% per jaar gedaald tot $ 1,295, volgens Cyberint.

Komen IAB's achter uw organisatie aan?

Meer dan een kwart (27%) van de vermeldingen die Cyberint in 2024 analyseerde, waren voor toegang tot organisaties met een omzet van meer dan $ 1 miljard. De gemiddelde omzet van slachtoffers tot nu toe dit jaar is zelfs $ 1.9 miljard. Maar dat betekent niet dat kleinere organisaties vrijuit gaan, aldus Cyberint-beveiligingsonderzoeker Adi Bleih.

"In de eerste helft van 2024 laten onze gegevens zien dat organisaties met inkomsten onder de $ 10 miljoen 18.5% van alle toegangsvermeldingen op grote ondergrondse forums vormden. Dit betekent dat bijna één op de vijf beoogde organisaties MKB's zijn, wat een aanzienlijk risico voor deze sector benadrukt", vertelt hij aan ISMS.online.

“Als we breder kijken naar middelgrote bedrijven met inkomsten tussen $ 10 miljoen en $ 100 miljoen, valt 29.5% van alle beoogde organisaties binnen dit bereik. Dit betekent dat bedrijven die minder dan $ 100 miljoen verdienen, 48% van alle initiële access broker-doelen vormen.”

Elders zijn Amerikaanse organisaties het meest waarschijnlijk het doelwit, goed voor bijna de helft (48%) van de onderzochte IAB-vermeldingen. Daarna volgen Frankrijk, Brazilië, India en Italië. Aangezien het Verenigd Koninkrijk echter een van de twee grootste ransomware-doelen is, is er genoeg om Britse CISO's 's nachts wakker van te houden. Volgens het rapport zijn de sectoren die het meest het doelwit zijn zakelijke dienstverlening, financiën, detailhandel, technologie en productie. De laatste is gestegen van 14% van de vermeldingen in 2023 tot 23% tot nu toe dit jaar.

Blokkering van de eerste toegang en verder

Hoewel geen enkele organisatie echt veilig is voor IAB-aanvallen, is het goede nieuws dat de dreigingsactoren zelf de neiging hebben om vast te houden aan beproefde hackingtechnieken. Dat betekent dat best practice security netwerkverdedigers een heel eind op weg zal helpen om de eerste toegang of wat daarna komt te neutraliseren. Cyberint beveelt eenvoudige stappen aan zoals multi-factor authentication (MFA), least privilege access policies, regelmatige patching, security awareness training, beperkt RDP-gebruik, intrusion detection (IDS), netwerksegmentatie en dark web monitoring.

Gelukkig zijn er best practice-normen en -kaders die een goede manier zijn om dergelijke praktijken te formaliseren.

Als voorbeeld ISO 27001 richt zich op het volgende:

Toegangscontrole: (Bijlage A.9). Helpt de kans te verkleinen dat IAB's hun netwerken infiltreren.

Incidentbeheer en -respons (bijlage A.16): Snelle detectie en reactie op eerste toegang kunnen helpen inbreuken in te dammen voordat ze in geld kunnen worden omgezet.
Beveiligingsbewustzijn en -training: (Bijlage A.7.2.2) Hiermee wordt de kans verkleind dat IAB's toegang krijgen via menselijke fouten, zoals phishing of zwakke wachtwoorden.
Netwerkbeveiligingsmaatregelen: (Bijlage A.13) Door het netwerk op te delen in kleinere, geïsoleerde segmenten, wordt de mogelijkheid van kwaadwillende actoren om zich lateraal te verplaatsen zodra ze zich eenmaal binnen het netwerk bevinden, beperkt.
Monitoring en registratie: Doorlopende monitoring en registratie van netwerkactiviteiten detecteren en waarschuwen ongeautoriseerde toegangspogingen.
Firewall- en IDS/IPS-configuratie: Met de juiste configuratie kunt u verdachte netwerkactiviteiten effectiever detecteren en blokkeren.
Patchbeheer en kwetsbaarheidsbeheer: (Bijlage A.12.6.1) Vermindert het aantal exploiteerbare kwetsbaarheden dat IAB's kunnen gebruiken om initiële toegang te verkrijgen.
Beveiliging van de toeleveringsketen (bijlage A.15): helpt voorkomen dat IAB's ongeautoriseerde toegang krijgen via onveilige derden.
Cryptografie en gegevensbescherming: (Bijlage A.10) Gegevensversleuteling beperkt de waarde van wat toegankelijk is na een IAB-inbreuk.
Fysieke en omgevingsbeveiliging: (Bijlage A.11) Vermindert het risico dat IAB's via fysieke middelen toegang krijgen, bijvoorbeeld via een gecompromitteerde werknemer.

ISO 27001 is gebaseerd op een Plan-Do-Check-Act (PDCA) cyclus, die de nadruk legt op continue verbetering van het informatiebeveiligingsmanagementsysteem (ISMS). Regelmatige interne audits, managementbeoordelingen en beveiligingsupdates in lijn met voortdurend evoluerende bedreigingen zorgen ervoor dat de verdediging van bedrijven in de loop van de tijd geschikt blijft voor het beoogde doel. IAB-aanvallen zijn onvermijdelijk. Maar succesvolle inbreuken hoeven dat niet te zijn.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster