Your Organization’s Network Access Is King: Here’s What to Do About It

Your Organization’s Network Access Is King: Here’s What to Do About It Report

Insikt Group used the Recorded FutureⓇ Platform to provide deeper insight into the monetization mechanisms for unauthorized access, and lay out extensive risk mitigation strategies for combating unauthorized access by using security intelligence. This report will be of interest to enterprises concerned with unauthorized access and corresponding methodologies for reducing risk.

Executive Summary

Historiquement, les services de paiement par installation (PPI) constituaient la principale source de revenus dans l'économie souterraine (UE) pour les opérateurs de botnets de base. Alors que les botnets continuent d'alimenter les services PPI, les données de Recorded Future révèlent que les offres d'accès non autorisé sont en augmentation, motivées par des opportunités de monétisation plus importantes via la vente directe ou les enchères sur des forums clandestins.

Insikt Group assesses with medium confidence, based on Recorded Future analysis, that the demand in the UE for direct unauthorized access will continue to increase, leading to expanding opportunistic and targeted attacks. After observing sales and auctions on forums in the UE and communicating with threat actors, Insikt Group assesses that initial unauthorized access (sold in underground forums) is primarily accomplished with phishing, credential reuse, web shell placement, or exploitation of misconfigured or vulnerable software.

Key Judgments

Background

L'économie souterraine (ES) désigne l'ensemble des acteurs en ligne et des technologies qui facilitent l'achat, la vente et le commerce de biens et de services illicites. L'UE n'a cessé d'innover et de mûrir afin de maximiser ses profits et d'éviter les poursuites judiciaires. Historiquement, une grande partie de l'UE était axée sur l'obtention et la monétisation de données de cartes de paiement volées, mais en 2007, l'avènement de botnets multifonctionnels basés sur HTTP, tels que Zeus, a donné naissance à une industrie artisanale populaire connue sous le nom de « pay-per-install » (PPI).

L'écosystème du paiement par installation (PPI).
Le PPI s'appuie sur des plateformes automatisées où les acheteurs paient pour accéder sans autorisation aux ordinateurs des victimes afin d'y installer des logiciels malveillants et/ou d'autres applications potentiellement indésirables (PUA). Le prix demandé pour chaque ordinateur compromis dépend généralement de la demande des acheteurs dans le pays où se trouvent les ordinateurs des victimes. Les plateformes PPI (également appelées réseaux d'affiliation) constituent des canaux tiers naturels pour la monétisation à grande échelle des infections (botnets ou kits d'exploitation). Le modèle PPI est simple, mais l'utilisation d'une plateforme PPI comporte des risques pour les opérateurs de botnets en raison des statistiques d'installation délibérément inexactes qui augmentent les profits du propriétaire de la plateforme PPI.
De même, les plateformes PPI constituent des mécanismes pratiques permettant aux acheteurs d'accéder rapidement à un grand nombre d'ordinateurs compromis et d'y installer d'autres charges utiles, telles que des chevaux de Troie bancaires, des ransomwares, des logiciels publicitaires ou des logiciels espions. Le modèle PPI traite toutes les infections/compromissions comme un produit générique, quelle que soit l'organisation victime (gouvernementale, entreprise ou résidentielle). Traditionnellement, le seul facteur de différenciation des prix est la situation géographique.

Publicités pour des services de paiement par installation (PPI) sur le marché noir. (Source : Recorded Future)
À l'inverse, les acteurs de l'UE reconnaissent que l'accès non autorisé à certains types de systèmes peut se traduire par un potentiel de monétisation accru. Les acteurs vendent directement (ou mettent aux enchères) des accès non autorisés via les forums UE, ce qui peut demander plus de temps et de patience, mais s'avère plus rentable que les services PPI classiques.
Les différences en matière de potentiel de monétisation sont frappantes. Un acteur capable d'installer un logiciel malveillant sur 1 000 appareils peut s'attendre à ce qu'un service PPI lui verse entre 0,05 et 0,20 dollar par infection (en fonction de la localisation géographique des hôtes infectés). Même dans le haut de gamme, le revenu quotidien par utilisateur est de 200 dollars (6 000 dollars par mois). Ce modèle traite toute infection comme un produit générique, quel que soit l'endroit où elle se produit.
À l'inverse, la vente directe ou la mise aux enchères de l'accès à un système ou à un réseau (souvent une entreprise de marque ou une agence gouvernementale) maximise les revenus. Par exemple, le groupe Fxmsp est un vendeur prolifique d'accès non autorisés, obtenant souvent 20 000 dollars pour accéder à une organisation.

Selling specific network access at higher price points. (Source: Recorded Future)

Threat Analysis

Increasing PPI and Unauthorized Access Advertising

Les données historiques de Recorded Future sur les UE montrent une augmentation d'une année sur l'autre, à partir de 2016, tant en matière de PPI que d'accès non autorisé à la publicité. Les graphiques ci-dessous illustrent les tendances à la hausse en matière de publicité, qui devraient se poursuivre tout au long de l'année 2019 (les données de cette année ont été mesurées en août). Les indicateurs sont cohérents lorsqu'ils sont mesurés en fonction du contenu publicitaire, ainsi que lorsqu'ils sont mesurés en fonction du pseudonyme unique de l'auteur.
Afin de collecter des données sur les références et les auteurs de forums clandestins, Insikt Group a élaboré des requêtes pour les mentions « PPI » et « accès non autorisé » sur la plateforme Recorded Future. Les requêtes ont été effectuées sur la base d'entités communes liées à la vente de PPI ou à l'accès non autorisé à des systèmes, ainsi que de correspondances textuelles pour divers termes commerciaux dans plusieurs langues. Les faux positifs ont été supprimés de l'ensemble de données en modifiant les requêtes existantes. Par exemple, le langage commercial utilisé pour « l'accès aux » valeurs de vérification des cartes était un faux positif courant dans plusieurs requêtes. Par conséquent, les requêtes ont été modifiées afin d'exclure délibérément ces références.

Unauthorized access query example. (Source: Recorded Future)

Exemple de requête en anglais sur l'IPP. (Source : Recorded Future)
De plus, afin de compter le nombre d'acteurs mentionnant soit le PPI, soit l'accès non autorisé, tout en limitant autant que possible les faux positifs, Insikt Group a procédé à une agrégation automatisée des pseudonymes des auteurs sur plusieurs forums. Les pseudonymes d'auteurs similaires contenant plus de cinq lettres (qui n'étaient pas des mots courants du dictionnaire) et publiant sur plusieurs forums uniquement au sujet des PPI ou des accès non autorisés ont été regroupés. Bien que certains de ces pseudonymes regroupés ne correspondent pas nécessairement au même acteur, Insikt Group a évalué avec un niveau de confiance moyen que la majorité d'entre eux sont authentiques, sur la base de pseudonymes et de contenus en double. De plus, comme les doublons erronés ne sont plus pris en compte, l'ensemble de données représente une limite inférieure potentielle du nombre réel de PPI par rapport aux publications de vente non autorisées.

Nombre d'auteurs par année mentionnant l'accès non autorisé ou la PPI sur des forums clandestins criminels.
À partir de ces données, nous avons pu extraire le nombre d'auteurs ayant mentionné l'accès non autorisé et la PPI dans des forums clandestins entre janvier 2014 et septembre 2019. Les pseudonymes uniques faisant la promotion du PPI et de l'accès non autorisé ont considérablement augmenté, et le nombre d'auteurs entre janvier et septembre 2019 est comparable à celui des années précédentes sur une période de neuf mois similaire.

Number of posts by year referencing either unauthorized access or PPI on criminal underground forums.

Similarly, Insikt Group gathered the posts pertaining to unauthorized access and PPI in underground forums from January 2014 to September 2019. The data also clearly shows that the number of PPI advertisements and unauthorized access advertisements has been steadily increasing.

Significant Global Access

Based on Recorded Future collection of unauthorized access advertised in forums, Insikt Group assesses with medium confidence that targeting is largely focused on the public sector and/or private sector enterprises, impacting organizations globally. Since Insikt’s previous reporting on a Russian-speaking criminal selling unauthorized access to the U.S. Election Assistance Commission (EAC) in December 2016, Insikt Group has been regularly monitoring the sales of unauthorized access on the criminal underground. The following are a selection of notable sales or auctions based on the level of access being advertised and the potential for negative organizational impact. The access advertised by most actors are regularly vague and do not contain the specific names of victim organizations.

Analysis of the sales posts below, threat actor engagement, and analysis of unauthorized access auctions conducted by Insikt Group over the last four years, allows Insikt Group to assess with medium confidence that the following four attack vectors are — in no particular order of importance — the primary methods used to accomplish initial unauthorized access.

Date
Actor
Access
December 2016
Rasputin
U.S. Election Assistance Commission (EAC)
Octobre 2017
A_violent_god
A U.S. news website with two million readers
December 2017
Kindunkind
540 U.S. media company web shells and 15 admin panels of EU media resources ($22K)
May 2018
Maklaud
Moscow police traffic databases ($25K)
December 2018
Zifus
300 Italian e-commerce web shells ($3K)
Janvier 2019
Tungsten
Asian e-commerce website ($10K)
March 2019
asadi64
Remote Desktop Protocol (RDP) access to a large U.S. oil company
March 2019
BigPetya (Fxmsp)
Asian automobile manufacturer
April 2019
vestl
VNC access to 22 computers across nine different U.S. hotels
April 2019
Aaaakkkka
Italian bank’s internal loan computer ($2K)
Mai 2019
markopollo
Web shell access to a weapons factory
June 2019
truniger
RDP access with administrative privileges to an Italian municipality
June 2019
stilus
Customer relationship management (CRM) system of a New Zealand investment firm ($10K)
June 2019
AD0
Corporate network of an international online retailer ($25K)
June 2019
Aaaakkkka
Sells access to an unspecified power company’s server ($600)
August 2019
SHERIFF
Administrator access to the database of a large Australian commercial construction company ($12K)
August 2019
B.Wanted
Domain administrator rights for a network containing 19,000 PCs across 20 Louisiana health clinics
August 2019
bc.monster
U.S. energy corporation’s network
August 2019
johnsherlock, infoshell
SSH (secure shell) access to the network of a multinational healthcare company
August 2019
-TMT-
Administrative access to the network of a Brazilian hypermarket chain
August 2019
VincentVega
Large Chinese financial firm (5BTC)
September 2019
Katavasya
New Zealand firearms and ammunition accessories e-commerce site
September 2019
Antony Moricone, (Fxmsp)
Corporate network of a German decorative lighting company, including 10 domain controllers
September 2019
Juventus1
Administrative web panel of an Asian airline
September 2019
Gabrie1
Network (containing over one thousand computers) of a U.S. oil and gas exploration company ($24K)
September 2019
0x4C37
High-traffic antivirus website ($8K)

Selection of unauthorized access auctions and sales. (2016–2019)

Profiling 2 Unauthorized Access Sellers: VincentVega and Fxmsp

The two following case studies showcase the monetization potential of both targeted and opportunistic access.

VincentVega

VincentVega, a member of a high-profile, Russian-language criminal underground forum, is a prime example of an actor taking advantage of opportunistic access. The actor had gained access to one of China’s largest investment banks and security companies (2015 reported revenue of 37.6 billion RMB) by brute-forcing RDP in an untargeted manner on internet-facing systems.

VincentVega advertising access to a Chinese company’s internal network. (Source: Recorded Future)

In August 2019, VincentVega advertised external remote access to a large Chinese company’s local network for five Bitcoin. In their post, the actor claimed that they had initially accessed the network by brute-forcing IPs with RDP access. They claimed that the local network contains 20,000 working local IPs, approximately 865 of which have RDP access, while 500 of the victim hosts also have administrator access. In their post, they claimed to be selling the access because, while they understood that the access is valuable, they did not know how to monetize it.

Because of these admitted unknowns, Insikt Group assesses with high confidence that VincentVega, in an untargeted attempt to find IPs with poorly password-protected RDP services, stumbled upon the company. However, once within the company’s network itself, the actor realized that, based on the size and functionality of the network, there were multiple ways to monetize and sell access to the network itself.

Fxmsp Group

Fxmsp Group, on the other hand, clearly demonstrates how an organization can conduct unauthorized intrusions at scale to turn a hefty profit. The group is a Russian- and English-speaking cybercriminal collective that targets and sells unauthorized network access to a wide variety of global victims, including financial, e-commerce, industrial organizations, and governmental institutions. Fxmsp Group often compromises networks in bulk for the purpose of reselling to other cybercriminals. Since 2017, Fxmsp Group has compromised global corporate and government networks and subsequently sold the unauthorized access for amounts ranging from a few hundred dollars to over $100,000.

Posts by Nikolay of Fxmsp Group selling access to networks belonging to various organizations.

Fxmsp Group displays patience and coordination among team members. The actor using the moniker “Fxmsp” is charged with compromising networks, while the actors using the monikers “Lampeduza,” “Antony Moricone,” “Nikolay,” “BigPetya,” and others are responsible for maximizing unauthorized access monetization.

We assess with medium confidence that Fxmsp Group attempts to monetize unauthorized access through a network of private contacts before quasi-publicly creating a sales thread or auction for a larger pool of buyers. This suggests that forum auctions initiated by Fxmsp Group are only a fraction of the available unauthorized access that Fxmsp Group is attempting to monetize at any given time.

Outlook

We assess with high confidence that the volume of unauthorized access and direct sales with perceived victim value will continue to increase for the foreseeable future. Malware-specific PPI affiliate services will continue to provide criminal value within the UE, but malware infections are less profitable in the PPI system than opportunistic and targeted unauthorized access.

Information security professionals should be focused on implementing and reviewing preventative best practices in conjunction with internal proactive detection efforts around the following four primary methods of establishing initial unauthorized access: phishing, credential reuse, web shell placement, and vulnerability exploitation.

Risk Mitigation

Les renseignements de sécurité sont indispensables pour détecter rapidement les premiers accès non autorisés à l'aide de méthodologies de recherche des menaces. Ces méthodologies devraient évoluer au fil du temps, à mesure que les praticiens opérationnels approfondissent leurs connaissances des tactiques utilisées par les adversaires et de l'environnement réseau interne. Une nouvelle méthodologie devrait permettre une mise en œuvre continue de la chasse aux menaces via un workflow d'automatisation/d'orchestration (SOAR). Cette section fournit des recommandations d'atténuation pour les quatre principales méthodes d'accès initial identifiées par Insikt Group.

Hameçonnage

Par exemple, l'examen du contenu des e-mails et des pièces jointes mis en quarantaine par une passerelle de sécurité des e-mails permet de se familiariser avec les tactiques utilisées par les adversaires qui ont échoué par le passé, tout en fournissant des exemples précieux de modifications dérivées qui pourraient s'avérer efficaces à l'avenir. Un dispositif de sécurité de messagerie électronique peut être configuré pour bloquer certainespièces jointes entrantes (par exemple, les fichiers « hta » exécutables HTML), mais il ne parvient pas à bloquer les e-mails malveillants contenant des liens vers des sites Web tiers.
Ainsi, dans ce cas, une méthodologie de chasse au phishing consisterait principalement à identifier les nouveaux domaines susceptibles d'être utilisés à des fins de phishing (contenu des e-mails) en fonction de la proximité lexicale du domaine avec les domaines de fournisseurs de services cloud prolifiques (tels que DocuSign, les services de messagerie Google, Microsoft Office365, Amazon Storage, etc.). Les renseignements de sécurité fournissent de nouveaux candidats de domaine qui doivent ensuite être utilisés pour améliorer l'inspection et la détection du contenu de la passerelle de sécurité des e-mails dans la télémétrie DNS ou la résolution des appliances proxy Web.

Recorded Future query to identify new phishing domains.

Credential Reuse

La vigilance dans la gestion des actifs et la suppression des systèmes connectés à Internet exécutant des applications sans authentification multifactorielle constituent de bonnes pratiques pour empêcher la réutilisation des identifiants et, dans le cas du RDP, les attaques par force brute. Les renseignements de sécurité réduisent le risque de réutilisation des identifiants par des adversaires en mettant en évidence les identifiants compromis, principalement issus de violations de bases de données. Le workflow SOAR correspondant doit rechercher dans Active Directory les utilisateurs correspondant aux nouveaux ensembles d'informations d'identification découverts. Dès qu'un utilisateur valide est identifié dans un ensemble d'informations d'identification, une réinitialisation du mot de passe est lancée.

Web Shell Placement

Les adversaires placent généralement des shells Web sur des serveurs Web via une vulnérabilité logicielle ou une mauvaise configuration. Un shell Web contourne souvent un pare-feu d'application Web (WAF) et permet une persistance à long terme sur un ou plusieurs serveurs Web. Les adversaires utilisent des shells Web pour exploiter des ressources d'information ou obtenir un accès non autorisé à des systèmes supplémentaires. La veille en matière de sécurité est un élément essentiel de la recherche de shells Web, qui nécessite l'identification continue de nouveaux shells Web et l'évaluation des fonctionnalités associées. Par exemple, les anciens shells Web utilisent l'authentification HTTP de base, sous forme ou condensée, qui est facile à identifier dans la télémétrie réseau (Zeek est un outil open source précieux pour l'analyse et le parsing des protocoles réseau).
De plus, les règles YARA constituent une autre ressource open source permettant d'identifier des shells Web spécifiques en fonction des conditions des fichiers (généralement des chaînes de caractères).

Surfacing new web shells. (Source: Recorded Future)

Exploiting a Known Software Vulnerability

Continuous patching prioritization and execution in an enterprise environment is challenging, but security intelligence can help by originating new pre-NVD vulnerabilities and enriching existing vulnerabilities, particularly with evidence of “in the wild” exploitation.

Additional vulnerability context provided by Recorded Future Intelligence Cards™. (Source: Recorded Future)

Footnotes

1https://www.cyber.gov.au/publications/malicious-email-mitigation-strategies