もはや100万ドルでは終わらない —2020年第4四半期の ネットワークアクセス販売状況
KELA脅威インテリジェンスアナリスト
ヴィクトリア・キヴィレヴィッチアンダーグラウンドのフォーラムでは、日々多数の初期アクセスが売買されており、今ではランサムウェアオペレーターらが標的のネットワークに侵入するためのエントリポイントとしても、初期アクセスが利用されつつあります。KELAは、前回の分析「2020年9月に販売されたネットワークアクセス—KELAが見たその100件の詳細」に続いて、2020年第4四半期に販売されたすべてのネットワークアクセスを評価しました。
今回のブログでご説明する重要なポイントは以下の通りです。
KELAは、2020年第4四半期に売り出された約250件の初期アクセス(希望販売価格の累計額は120万ドル超)を追跡しました。同四半期売り出されたアクセスの月平均件数は約80件となりました。
KELAは、売り出されたネットワークアクセスのうち最低でも14%が、販売者であるアクターによって「売却済み」と記載されたことを確認しました。
同四半期の各月に売り出されたアクセスの件数は、いずれも9月の108件を下回っています。これについてKELAは、フォーラムで公開販売するよりも、非公開のメッセージを使って売り出す手口が増加したため、数字が若干減少したものと考えています。
高額な商品のリストと販売者のTTP(戦術、技術、手順)についてまとめてゆく中で、KELAは、アタックサーフェスが日々拡大しており、その一方で初期アクセス・ブローカーが新たな種類のアクセスを販売している状況を確認しました。しかしその一方で、RDPやVPNを利用したアクセスや脆弱性(特定の脆弱性を悪用してコードを実行することで、アクターらが標的の環境内でさらなる攻撃を実行することが可能となる)が、引き続き商品の主流を占めています。