初期アクセスブローカーサービスはダークウェブ市場で急成長しており、脅威アクターはさまざまなオプションを低価格で購入できると、Rapid7の新しいレポートは述べています。
これらのサービスの販売の3分の1以上(39%)は、すでに侵害されたネットワークへのアクセスを顧客に提供するもので、500ドル~1000ドルの価格帯に集中しています。
Rapid7が分析した3つのサイバー犯罪フォーラム全体での平均基本販売価格は、わずか2700ドル強でした。研究者たちは、2024年7月1日から12月31日までの6か月間にわたり、Exploit、XSS、BreachForumsという3つの著名なサイトを分析しました。
ブローカーは、被害組織の収益を利用して、提示価格の価値を正当化する様子が観察されました。
約4分の3(71.4%)のブローカーは、各販売ごとに複数のオプションを提供しており、たとえば侵害された組織への複数の侵入口から選択できたり、約10%のケースでは複数の初期アクセスベクター(IAV)や権限を含むバンドルが提供されていました。
残りの17.5%のブローカーは、権限を含まない単一のアクセス形態のみを提供していました。
研究者たちは、この調査結果から初期アクセスブローカーサービスが、スキルレベルを問わず脅威アクターにとって安価かつ入手しやすくなっていることを示していると述べています。
「面倒な作業はアクセスブローカーがすでに済ませており、購入希望者は数百ドルを支払うだけで、すでに侵害された企業への即時アクセスを得ることができます」と、研究者たちは8月12日付のレポートで記しています。
アカウント侵害が最も一般的なアクセス手法
Rapid7のレポートによると、侵害されたアカウントが、パッケージで提供される最も頻繁な初期アクセスベクターであることが判明しました。
VPNアカウントが最も多く、3つのフォーラム全体の販売の23.5%を占めていました。次いでドメインユーザーアカウント(19.9%)、リモートデスクトッププロトコル(16.7%)、ドメイン管理者アカウント(5.5%)が続きます。
初期アクセスブローカーから購入したVPNアカウントを使用する攻撃者は、正規の認証情報が付与されているため、ネットワーク内で検知を回避しやすく、通常のVPNトラフィックに紛れることができます。
「これらのVPN、RDP、ドメイン/管理者ユーザーアカウントの組み合わせにより、ネットワークの探索、ラテラルムーブメント、さらにはランサムウェア配布やデータ流出へのさらなるエスカレーションが可能になります」と研究者たちはコメントしています。
BreachForumsが7月下旬に再登場
分析対象となったサイバー犯罪フォーラムの1つであるBreachForumsは、近年複数回の法執行機関による摘発を受けており、サイト運営に関与したとされる人物の逮捕やサイトの閉鎖が行われてきました。
これには、2023年3月にFBIが「Pompompurin」として知られるConor Brian Fitzpatrickを逮捕した件も含まれます。Fitzpatrickはプラットフォームの主要管理者と疑われており、一時的に活動を停止しましたが、その後新たな管理チームとされる体制で再開されました。
2025年6月25日、米国は英国籍のKai Westを、プラットフォーム運営への関与の疑いで起訴しました。Kaiは2025年2月に逮捕されました。
4月15日頃、BreachForumsのサイトはオフラインとなり、その原因について多くの憶測が飛び交いました。
サイトは7月25日まで正式には再開されず、管理者が「通常営業だ」と宣言する挑戦的なメッセージを投稿しました。
分析期間中、BreachForumsで最も多く投稿したのはWestが使用した偽名「IntelBroker」で、このアカウントは全販売の19.05%を占めていました。
翻訳元: https://www.infosecurity-magazine.com/news/cybercriminals-low-cost-initial/