Yeraltı siber suç ekonomisinde ilk erişim komisyoncularının (IAB’ler) artan rolü, zaman içinde daha sofistike ve cilalı hale gelen IAB’ler için en eski tam teşekküllü pazarlardan biri olan Genesis Marketplace’in evriminde yansıtılmaktadır.
A bildiri
Sophos’tan bu hafta, 2017’de başlayan ve kötü niyetli aktörlerin, yalnızca davetiyeyle girilebilen pazarı aracılığıyla kimlik bilgileri ve çerezlerden dijital parmak izlerine kadar diğer kişilerin verilerine erişmesini sağlayan Genesis’e kapsamlı bir bakış atıyor.
Genesis şu anda 200’den fazla ülkede 400.000’den fazla bot (tehlikeye girmiş sistemler) listeliyor ve İtalya, Fransa ve İspanya etkilenen ülkeler listesinin başında geliyor.
Piyasa, yalnızca verilerin kendisini değil, bu verilerin (yanlış) kullanımını kolaylaştırmak için bakımlı araçlar da sağlar. Bu araçlar, müşterilerinin hedeflenen botlara erişmek için çalınan kimlik bilgilerini dağıtırken radarın altında kalmasına yardımcı olan, bir Google Chrome uzantısı ve hatta sunulan “sürekli bakımı yapılan ve güncellenen” bir Genesium tarayıcı dahil olmak üzere, ısmarlama tespit önleme tekliflerine kadar uzanır.
Sophos tehdit araştırmacısı Angela Gunn, “Saldırganların çoğu, özellikle daha az deneyimli olanlar, bir saldırının keşif ve sızma aşamaları üzerinde zaman veya çaba harcamak istemiyor” diye açıklıyor. “Genesis’in olgunluğu, hem kullanım kolaylığı hem de kısıtlı erişimle gelen yalnızca ciddi sorgular havası, zaman ya da çaba harcamamak anlamına geliyor.”
Hizmet, sunulan yüksek kaliteli veri seviyesinin yanı sıra sitenin çalınan bilgileri güncel tutma taahhüdü ile tanımlanır.
Bu, çalınan bilgiler için ödeme yapan bilgisayar korsanlarının, bu bilgilerin ne zaman değiştiği veya güncellendiği konusunda Genesis tarafından takip edildiği anlamına gelir. Kullanıcılar, hedeflenen botta sahip olduğu bilgi hacmine göre ücretlendirilir.
Rapora göre, “Örneğin, saldırganların oyun devi Slack aracılığıyla EA’nın sistemine girmesine izin veren Haziran 2021 EA veri ihlaline yol açan tek kimlik bilgileri, Genesis’ten 10 dolara satın alındı.”
Genesis ayrıca müşterilerine, Sophos’un “133tsp34k ve Matrix-istenilen arayüzlerin eski günlerinden çok uzak” olarak tanımladığı bir düzeyde müşteri hizmeti ve kullanıcı arayüzü (UI) cilası sunuyor. Bu, kaygan, çağdaş bir arayüz, sık sorulan sorular (SSS) sayfası ve çok dilli teknik desteği içerir.
Geri dönen kullanıcılar, eriştikleri güvenliği ihlal edilmiş sistemler hakkında güncel bilgiler içeren bir gösterge panosuna da erişebilir.
Gunn, “Genesis’in aslında bir müşteri hizmetleri işlevine sahip olması, operasyonun ciddiyetini destekleyen bir ifadedir” diyor.
IAB’ler Talep Arttıkça Daha Profesyonelleşiyor
Rapor, Genesis’in evriminin siber suç ekonomisinin “büyüyen profesyonelleşmesine ve uzmanlaşmasına” işaret ettiğini belirtiyor.
Fidye yazılımı grupları ve bağlı kuruluşlarının, hizmetin en sık müşterileri olduğu varsayılır, özellikle de kendilerine hızlı erişim ve hedeflerine daha hızlı yanal hareket sağlayan bir IAB sitesi arayan suçlular.
Gunn, “Karanlık Web”in – ki bu elbette tek bir şey değil – bir süredir profesyonelleştiğini açıklıyor.
“Başvuru sahibi incelemesi, sağlam arama, teknik destek, geliştiriciler ve tasarımcılar – bu işler ücretsiz olarak gerçekleşmez” diye ekliyor. “Bu iş için ödeme yapmak, bu alanda kârın ne kadar yüksek olduğunu kanıtlıyor.”
Yüksek düzeyde bir organizasyon aynı zamanda Genesis pazarını farklılaştırarak, kötü niyetli aktörlere çalınan verilerle ilgili daha fazla bağlamsal bilgi verir ve onlara güvenliği ihlal edilmiş sistemler hakkında daha fazla içgörü sağlar. Bu aslında daha da yaratıcı saldırı vektörlerini teşvik edebilir.
Rapora göre, “Örneğin, yakın tarihli bir soruşturma sırasında bulduğumuz bir darknet kılavuzu, diğer suçlulara, çalınan kimlik bilgileri artık geçerli değilse kurbanları hesaplarından atmak için Genesis’ten tamamlayıcı verileri kullandıklarını öne sürüyor.”
Bu, kurbanlar çalınan kimlik bilgilerinin tehdidini etkisiz hale getirmeye çalışsa bile, saldırganların, etkilenen kullanıcıları aktif olarak gasp etmek için tamamlayıcı verileri kullanabileceği anlamına gelir.
Kadife İp Tedavisi
Münhasırlık ve gelişmişlik havasına ek olarak, hizmetin yalnızca davetli erişilebilirliği, Genesis’e erişim vaat eden ve saf suçluların erişmek için bir kredi kartıyla “depozito” yapmasını gerektiren daha küçük bir sahte site siber suç ekosistemiyle sonuçlandı.
2016’dan beri IAB’leri izleyen Digital Shadows, Kasım 2021’de siber suçlular arasında IAB’lerin kullanımında bir artış olduğunu bildirdi.
Gunn, kuruluşların IAB açık artırma bloğuna girmekten kaçınmak istiyorlarsa, önce tüm güvenlik açıklarını düzeltmeleri, sistemlerini düzenli tutmaları ve tetikte olmaları gerektiğini söylüyor.
“IAB’ler tehdit ortamında daha yeni bir gelişme olsa bile, keşif ve sızma süreçleri yeni bir şey değil” diye ekliyor. “Kuruluşların bu olağandışı etkinlikleri tanımak için bir algılama stratejisi olması gerekir, ancak ağınızı, ağınızda neler olduğunu, potansiyel saldırı yüzeylerinin neler olduğunu ve buna göre yamaların nereye öncelik verileceğini anlamanız gerekir.”