De verkoop en aankoop van ongeautoriseerde toegang tot gehackte bedrijfsnetwerken is een belangrijke factor geworden voor de hedendaagse cyberaanvallen.
Sommige cybercriminelen zijn gespecialiseerd in het hacken van netwerken en verkopen deze toegang door aan derden in plaats van het netwerken zelf te exploiteren. Op dezelfde manier brengen deze cybercriminelen die misbruik maken van gecompromitteerde netwerken - met name ransomware-operators - deze netwerken zelf niet in gevaar maar verkopen ze hun toegang door aan andere cybercriminelen.
De Cyber Kill chain
Deze uitwisselingen en samenwerking op deze ondergrondse criminele websites stellen gespecialiseerde cybercriminelen met vaardigheden en middelen in staat om de ernst en impact van het ondergrondse criminele ecosysteem 'De Cyber Kill Chain' van de bedreigingsactoren te vergroten. Deze specifieke handel van criminele marktaanbiedingen is minder bekend dan andere zoals de verkoop van gecompromitteerde betaalkaarten uit retail- en horeca-inbreuken, of andere belangrijke data. Dit minder gedocumenteerde type criminele marktaanbod verdient niettemin meer aandacht vanwege de omvang en potentiële ernst van de impact.
Russisch sprekende criminelen de marktleiders
Deze verkoop van netwerktoegang heeft gevolgen voor organisaties in alle sectoren en regio's. Technologie- en telecommunicatiebedrijven behoren tot de meest voorkomende slachtoffers. De verkoop van deze ongeautoriseerde toegang zijn dan ook vaak duurder dan andere sectoren. Criminelen van over de hele wereld kopen en verkopen netwerktoegang. Maar net als in andere aspecten van het ondergrondse criminele ecosysteem zijn Russisch sprekende criminelen de marktleiders. De aangeboden handel bevat vaak een combinatie van externe toegang tot een netwerk en beheerdersreferenties of andere zeer bevoorrechte accounts. De verschuiving naar een extern personeelsbestand tijdens de COVID-19-pandemie en de daaruit voortvloeiende toename van het gebruik van tools en services voor externe toegang hebben aanvallers meer aanvalsoppervlak gegeven om te exploiteren. Wat voor een duidelijke toename van deze verkopen in de afgelopen 18 maanden heeft laten zien. Dit fenomeen dateert echter van vóór de pandemie maar het is volwassen geworden in 2020. Het is nu een specifiek verkoop product geworden op ondergrondse criminele fora.
Handel admin rechten ziekenhuis
Een van de meest omstreden handel van ongeautoriseerde toegang is die van toegang tot de zorg en dan met name toegang tot ziekenhuizen. Via online forums die op het darkweb worden gehost, kopen en verkopen hackers inloggegevens van ziekenhuisbeheerders en toegang tot ziekenhuisnetwerken. Deze gegevens worden gebruikt om ransomware aanvallen te lanceren en medische dossiers te stelen. Omwille van de noodzaak van werkende computer apparatuur om levens te kunnen redden is de kans op snelle betaling van een getroffen ziekenhuizen dan ook groter dan andere sectoren. Zo melde de FBI eind 2020 dat de recente cyberaanvallen op ziekenhuizen nog maar het begin was.
Zeven dingen om te weten
- Een Russisch sprekende hacker met de naam "hardknocklife" veilde toegang tot het netwerk van een Amerikaans ziekenhuis. Hij zei "de dataset van patiëntendossiers is waardevol omdat ze geboortedata, burgerservicenummers en andere details bevatten die kunnen worden gebruikt om frauduleuze kredietaanvragen uit te voeren." De veiling begon bij $ 500, maar de "koop nu"-prijs was $ 5.000.
- Berichten onthullen meestal de locatie van het ziekenhuis, de jaaromzet en de marktwaardering. Hackers onthouden zich meestal van het delen van de naam van het ziekenhuis bij het berichten. Ze zijn zich ervan bewust dat wetshandhavers hun berichten lezen en willen niet het risico lopen de toegang te verliezen. In sommige gevallen hebben hackers de identiteit van het ziekenhuis bekendgemaakt via privéberichten.
- Hackers verkopen de ongeautoriseerde toegangen meestal voor een vaste prijs in plaats van een veiling te houden. De prijzen voor de ongeautoriseerde toegangen zijn van drie tot vijf cijfers. De meeste prijzen liggen in het bereik van vier cijfers.
- De prijzen voor zorgorganisaties zijn doorgaans lager vanwege de perceptie dat ze gemakkelijker te compromitteren zijn, aldus het rapport. De gemiddelde prijs was $ 4.860 voor een ongeautoriseerd toegang tot het netwerk, terwijl de mediane prijs $ 700 was.
- De lagere verkoop prijzen voor toegang tot ziekenhuizen is waarschijnlijk de reden waarom de verkoop van ongeautoriseerd toegang tot ziekenhuizen in de lift zit en daarom aantrekkelijker is geworden voor ransomware-operators, aldus het rapport.
- In een ander voorbeeld zei de Russisch sprekende "TrueFighter" in een bericht van juli 2020 dat hij de informatie van een Amerikaans ziekenhuis verkocht met een omzet van $60 miljoen.
- De verkoper bood RDP-punten en inloggegevens voor domeinbeheerders aan voor $ 3.000. Het RDP zou de koper op afstand toegang hebben gegeven tot zijn systemen. Een efficiënte ransomware-operator zou patiëntendossiers hebben gestolen voordat ransomware werd ingezet, aangezien patiëntgegevens volgens het rapport waardevol zijn.
Lees ook:
- Ransomware-aanval in Duits ziekenhuis leidt tot dood van patiënt
- Piek in cyberaanvallen op zorgsector in Europa
- Tachtig servers versleuteld van Belgisch ziekenhuis door ransomware
- De gezondheidszorg wordt niet ontzien door cybercriminelen
- Hackers probeerden computersysteem Amphia Ziekenhuis in Breda binnen te komen
- Zes getroffen ziekenhuizen met ransomware in een staat kregen hulp van de Nationale Garde
De volledige analyse van het onderzoek van Intsights kunt u hier onder bekijken of downloaden.
Bron: intsights.com
Actuele aanvallen overzicht per dag 》
Tips of verdachte activiteiten gezien? Meld het hier.
Darkweb gerelateerde berichten
10 jaar gevangenis en tbs voor 'Mr. Dark'
De 35-jarige Michael M., alias 'Mr. Dark', is donderdag veroordeeld tot tien jaar cel en tbs met dwangverpleging voor het afpersen en misbruiken van tien minderjarige meisjes en het handelen in extreme verkrachtings- en seksvideo's. Het Openbaar Ministerie (OM) had twaalf jaar cel en tbs met dwangverpleging geëist.
Minister Yeşilgöz: “Als je nu kijkt zie je dat online en op het darkweb eenlingen een reële dreiging vormen”
De terrorismebestrijding in Nederland richt zich de komende jaren op extremisme uit extreemrechtse hoek. Dat staat in de Nationale Contraterrorisme Strategie die minister Dilan Yesilgöz (Justitie en Veiligheid) naar de Tweede Kamer stuurde. Ook komt er meer aandacht voor eenlingen met extremistische denkbeelden, "vaak in combinatie met extreme antioverheidssentimenten en complotdenkbeelden".
Uit onderzoek blijkt dat veel posts van kinderen op sociale media circuleren op het Darkweb
Heel wat ouders posten foto's van hun kinderen op sociale media. Maar ze staan niet altijd stil bij de risico's die daarmee gepaard kunnen gaan. Dat blijkt uit een onderzoek van de UGent in Belgie. Die lanceert nu de website "Magditonline.be" met concrete tips voor ouders om hun kinderen veilig af te beelden op sociale media. Ook influencers vinden er meer informatie over hun rechten en plichten.
CIA vraagt pro-westerse Russen om contact te zoeken via het darkweb
De Amerikaanse inlichtingendienst CIA is op het Russische internet actief op zoek naar mensen die tegen de oorlog in Oekraïne zijn. “Het is om hen gerust te stellen dat er aan de andere kant mensen zijn die hen willen beschermen.”
Russisch darkweb marktplaats "Hydra Market" offline
De Duitse politie heeft gisteren mogelijk de grootste illegale marktplaats op het web uit de lucht gehaald. Het gaat om 'Hydra Market', een Russisch platform dat miljoenen actieve leden kende. Wie de beheerders zijn, is onbekend.
Half jaar cel voor mislukte wapendeal na tip Australische politie
De rechtbank heeft een 45-jarige man uit Delfzijl die een vuurwapen wilde kopen veroordeeld tot een half jaar celstraf (helft voorwaardelijk). De deal mislukte: hij werd bij een hotel in Zwolle gearresteerd.