Исследователи предупреждают, что киберпреступники предлагают первичный доступ к сетям, принадлежащим ключевым игрокам в глобальных цепочках поставок.
Во вторник Intel471.com опубликовал анализ о текущих тенденциях черного рынка в Интернете, выявляя примеры брокеров первичного доступа (IAB), предлагающих доступ международным судоходным и логистическим компаниям по суше, воздуху и морю.
Глобальные цепочки поставок столкнулись с серьезными потрясениями с начала пандемии COVID-19. Проблемы выходят за рамки нехватки микросхем — запреты и закрытия рынков привели к задержкам во всем мире, и по мере того, как мы медленно выходим из пандемии, спрос на все, от продуктов питания до электроники, остается высоким.
Возможно, именно поэтому организации, которые обеспечивают основу для грузовых перевозок и доставки, привлекли интерес киберпреступников, в том числе операторов программ-вымогателей.
Доступ обычно осуществляется через уязвимости в протоколе удаленного рабочего стола (RDP), виртуальных частных сетях (VPN), Citrix, SonicWall, неправильную конфигурацию и атаки методом грубой силы, а также кражу учетных данных.
По мнению исследователей, несмотря на нестабильное и опасное положение, особенно в преддверии зимы, «кризис кибербезопасности в одной из этих логистических и судоходных компаний может иметь катастрофические последствия для мировой экономики потребления».
Имея это в виду, Intel471.com изучила списки Dark Web за последние несколько месяцев, чтобы увидеть, насколько распространены списки IAB, относящиеся к глобальной цепочке поставок.
Есть несколько замечательных случаев как от известных IAB, так и от новичков. В июле два торговца заявили, что они получили доступ к сетям японской судоходной компании, а также украли учетные данные. Это предложение было включено в более широкий список охватывающий около 50 организаций.
В августе торговец из группы распространителей программ-вымогателей Conti заявил, что они проникли в сети, принадлежащие американскому поставщику программного обеспечения для транспортных и грузовых перевозок, а также крупной компании по транспортировке товаров.
По данным фирмы по кибербезопасности, этот субъект ранее предоставил Conti доступ к ботнету, включая функцию виртуальных сетевых вычислений (VNC), что позволило им «загрузить и запустить Cobalt Strike на зараженных машинах, поэтому члены группы, отвечающие за взлом компьютерных сетей, получили доступ напрямую «.
Сообщение IAB, опубликованное в сентябре, связанным с группой вымогателей FiveHands, предлагало доступ к «сотням» компаний, включая логистическую компанию в Соединенном Королевстве. В других сообщениях на форумах киберпреступников доступ к транспортной компании в Бангладеш был обеспечен из-за недостатка безопасности PulseSecure VPN, были также предложены права внутреннего администратора в транспортной организации США и пакет учетных данных, включая доступ к учетной записи для логистической компании в Малайзии.
«Отрасль логистики постоянно подвергается нападениям, и последствия кибератаки могут иметь разрушительный эффект на мировую экономику. «Чрезвычайно полезно, чтобы службы безопасности в судоходной отрасли отслеживали злоумышленников, их инструменты и злонамеренное поведение, чтобы остановить атаки с их стороны», — говорят исследователи. «Упреждающее устранение уязвимостей в периоды повышенной готовности позволит избежать дополнительной нагрузки на и без того ограниченные бизнес-операции. »