Wat zijn IABS?
Initiële Access Brokers (IABS) zijn gespecialiseerd in het verkrijgen van ongeoorloofde toegang tot computersystemen en netwerken en vervolgens die toegang tot andere cybercriminelen te verkopen. Met deze arbeidsverdeling kunnen IAB’s zich concentreren op hun kernexpertise: het benutten van kwetsbaarheden door methoden zoals sociale engineering en brute-force-aanvallen.
Door toegang te verkopen, beperken ze de risico’s die verband houden met het direct uitvoeren van ransomware -aanvallen of andere complexe bewerkingen. In plaats daarvan profiteren ze van hun vaardigheden in het overtreden van netwerken, waardoor ze het aanvalsproces voor hun klanten effectief stroomlijnen.
Dit bedrijfsmodel stelt IAB’s in staat om te werken met een lager profiel en een verminderd risico, terwijl ze nog steeds profiteren van hun technische vaardigheden. IAB’s werken voornamelijk op donkere webforums en ondergrondse markten en kunnen onafhankelijk functioneren of als onderdeel van grotere organisaties zoals ransomware-as-a-service (RAAS) bendes.
Ze fungeren als een cruciale link in het ecosysteem van cybercriminaliteit, en bieden de eerste voet aan de grond die nodig is voor ransomware -bendes, data dieven en andere kwaadaardige acteurs om hun activiteiten uit te voeren. De prijzen van hun diensten is afhankelijk van de grootte van het doelwit, het toegekende toegangsniveau en de waargenomen waarde van het gecompromitteerde systeem, meestal uitgevoerd in het donkere web.
Waarom winnen IAB’s stoom?
De stijgende bekendheid van initiële toegangsmakelaars (IAB’s) is direct verbonden met hun vermogen om ransomware-bewerkingen te stroomlijnen en te versnellen, met name ransomware-as-a-service (RAAS) -schema’s. Door de complexe taak van initiële netwerkinfiltratie af te handelen, stellen IAB’s ransomware -groepen in staat om zich uitsluitend te concentreren op gegevenscodering en afpersing, waardoor hun aanvalsmogelijkheden effectief worden geschaald.
Deze efficiëntie wordt verder versterkt door de groeiende trend van IAB’s die rechtstreeks werken voor RAAS-filialen, waardoor bijna-instantane aanvallen op toegangsopkoop mogelijk zijn, waardoor het tijdrovende proces van het vaststellen van een voet aan de grond kan worden geëlimineerd.
Deze symbiotische relatie komt beide partijen ten goede. RAAS -groepen krijgen snelheid en efficiëntie, terwijl IAB’s een consistente stroom van werk veiligstellen en vaak de behoefte aan openbare advertenties op donkere webforums omzeilen.
Deze verminderde zichtbaarheid biedt een laag van bescherming tegen wetshandhavingsonderzoek, omdat hun activiteiten minder worden blootgesteld in vergelijking met die op open marktplaatsen. Deze combinatie van verhoogde operationele efficiëntie voor ransomware -groepen en verminderd risico op IABS heeft de snelle expansie en invloed van IAB’s binnen het ecosysteem van cybercriminaliteit aangewakkerd.
Waar zijn IAB’s gefocust?
In 2023 was de sector van de zakelijke diensten duidelijk de meest gerichte industrie, hoewel deze nog steeds in de top 3 in 2024 staat met 13%, is er een veel bredere verspreiding van industrieën die het doelwit zijn. Terwijl in 2023 de sector zakelijke diensten maar liefst 29% van de aanvallen op zich nam, bedroeg dat aantal slechts 13% in 2024. Hetzelfde geldt voor de andere industrieën die verminderde percentages vertoonden. Dit kan te wijten zijn aan IAB’s die de industrieën verbreden waarop ze zich richten.
Zoals gewoonlijk is de VS een belangrijk doelwit, voor zijn economische en technologische macht die doelen van hoge waarde maakt. Met name hebben Brazilië en Frankrijk respectievelijk de tweede en derde plekken beveiligd, wat duidt op hoge waardedoelen in beide landen.
Lees hier onze gids voor IAB’s om te zien op welke soorten bedrijven het doelwit zijn.
De financiële motieven van IABS
De Initial Access Broker (IAB) -markt toont een dynamische prijsstructuur en biedt over het algemeen toegang tot bedrijfstoegang tussen $ 500 en $ 3.000. Terwijl 2023 een gemiddelde noteringsprijs van $ 1.979 zag, scheef met incidentele hoogwaardige doelen die tienduizenden dollars bereikten, bleef de mediane prijs aanzienlijk lager op $ 1.000, met een meerderheid van vermeldingen onder de $ 3.000.
In 2024 richten cybercriminelen zich in toenemende mate gericht op kleinere slachtoffers. Hoewel ze over het algemeen de prijzen hebben verlaagd voor het verkopen van toegang tot gehackte systemen, met 86% die minder dan $ 3.000 kost, de gemiddeld De prijs is eigenlijk gestegen tot $ 2.047. Dit hogere gemiddelde is misleidend omdat een paar zeer dure omzet het aantal scheeftrekt.
Zoals de grafiek laat zien, kost de overgrote meerderheid (58%) van de toegangsovereenkomsten nu minder dan $ 1.000 – een grote verandering uit 2023. Bovendien komen dure toegangsopties minder vaak voor, wat nu slechts 7% uitmaakt van wat te koop is.
Deze strategische prijsreductie, in combinatie met een afname van hoogwaardige lijsten, suggereert een verandering in IAB-tactieken. Ze concentreren zich nu op volume en bieden tal van goedkopere toegangspunten die tot totaal aanzienlijke financiële winst kunnen opleveren.
Ondanks de lagere individuele prijzen vormt de enorme hoeveelheid beschikbare toegangspunten een aanzienlijke bedreiging, waardoor mogelijk wijdverbreide schade wordt veroorzaakt en lucratiever blijkt dan een kleiner aantal dure verkopen. Deze verschuiving duidt op een evolutie in de IAB-markt, die prioriteit geeft aan toegankelijkheid en volume boven individuele hoogwaardige transacties.
Lees hier om gedetailleerde informatie over de TTPS te zien die door IABS worden gebruikt.
Wat is de volgende stap voor IABS?
De opkomst van initiële toegangsmakelaars (IAB’s) wordt aangedreven door een samenvloeiing van factoren die de efficiëntie en winstgevendheid van cybercriminaliteit verbeteren. Hun specialisatie in de initiële netwerkinfiltratie stelt ransomware -groepen en andere kwaadaardige actoren in staat om zich te concentreren op latere stadia van aanvallen, stroomlijning en het vergroten van de schaal van potentiële schade.
De groeiende trend van directe samenwerking tussen IABS en Ransomware-as-a-Service (RAAS) -liggendes versnelt de aanvalstijdlijnen verder, waardoor een efficiënter en gevaarlijker cybercrimineel ecosysteem ontstaat.
De evolutie van IAB -prijsstrategieën onthult ook een belangrijke verschuiving in tactieken. IAB’s richten zich steeds meer op volume en bieden tal van goedkopere toegang. Deze strategie maximaliseert potentiële financiële winst door een breder scala aan aanvalsvectoren te bieden, waardoor cybercriminaliteit toegankelijker en mogelijk schadelijker wordt.
Deze verschuiving, in combinatie met de verminderde zichtbaarheid die wordt geboden door buiten openbare donkere webforums, biedt IABS een belangrijke beschermingslaag tegen wetshandhaving.
Vooruitkijkend kunnen we verwachten dat IABS een cruciale rol blijft spelen in het landschap van cybercriminaliteit. Hun vermogen om direct beschikbare toegangspunten te bieden, zal waarschijnlijk de groei van ransomware en andere financieel gemotiveerde aanvallen voeden. De trend in de richting van goedkopere, hoogvolume toegangsverkoop suggereert dat kleinere organisaties, die eerder als minder aantrekkelijke doelen worden beschouwd, een toenemend risico zullen lopen.
Naarmate IAB’s hun tactieken volwassen worden en de banden met RAAS -filialen versterken, zullen de snelheid en efficiëntie van cyberaanvallen blijven toenemen. Daarom zullen proactieve cyberbeveiligingsmaatregelen, waaronder bedreigingsinformatie over actuele TTP’s, continue monitoring en werknemersopleiding, steeds kritischer worden bij het verminderen van de groeiende dreiging van IABS.
Voor gedetailleerde inzichten in hedendaagse IAB -tactieken, inclusief toegangstypes, voorrechtgebruik en aanbevolen beschermende maatregelen, raadpleegt u de uitgebreide IAB -gids of wonen ze dit jaar bij op de RSA -conferentie van Adi Bleih, beveiligingsonderzoeker getiteld Eerste toegangsmakelaars – een diepe duik op 30 april om 14.25 uur in HT-W09. U kunt het hier aan uw schema toevoegen.
