KELA のダークウェブ調査:2022 Q3 の IAB 市場規模は $4M で対象は 576社

Hackers selling access to 576 corporate networks for $4 million

2022/10/31 BleepingComputer — 世界の 576社の企業ネットワークへのアクセス権を販売する、ハッカーたちのビジネスの累計額が $4,000,000 に達しており、企業への攻撃に拍車が掛かることが、新たなレポートで明らかになった。この調査は、イスラエルのサイバー・インテリジェンス企業である KELA が、Q3 2022 Ransomware Report としてを発表したものであり、イニシャル・アクセス販売の分野の活動は一定であるが、提供額の高騰が判明しているとのことだ。


ネットワーク・アクセスの販売件数は 2022年 Q2 と同等であるが、累積要求価格は現時点で $4,000,000 に達している。

ちなみに、2022年 Q2 のイニシャル・アクセス件の総額は $660,000 であり、夏季におけるランサムウェアの休止と重なり、需要を損なう値下がりを記録していた。

ランサムウェアへの道

IAB (Initial Access Brokers) たちは、企業ネットワークへのアクセスを販売するハッカーであり、クレデンシャルの窃盗や、ウェブシェルの注入、一般に公開されたハードウェアの脆弱性の悪用などにより、そのビジネスを達成している。

IAB は、ネットワークに足場を築いた後に、対象となる企業へのアクセスを他のハッカーに販売する。続いて、このアクセスを購入したハッカーは、貴重なデータの窃取や、ランサムウェアの展開といった、悪質なアクティビティを実施することになる。

IAB 自身が、さらなるサイバー攻撃を行うない理由は、侵入スキルの不足から、法的トラブルによるリスク回避などにいたるまで、多岐にわたる。

昨年には、犯罪シンジケートとして活動する大規模ランサムウェア集団が、独自の IAB 部門を運営したことで、IAB は傍流に追いやられた。しかし、ランサムウェア感染チェーンにおいて、依然として重要な役割を担うという現実がある。

2022年 Q3 の数字

2022年 Q3 に KELA のアナリストたちは、110 の脅威アクターが 576件のイニシャル・アクセスを提供し、その累計額は $4,000,000 にのぼったと観測している。

Monthly volume of initial access sales (KELA)

これらの出品物の平均価格は $2,800 であり、販売価格の中央値は $1,350 という、過去最高の数値に達した。

Initial access sales prices (KELA)


KELA では、1アクセス $3,000,000 という天文学的な価格で、購入が申し込まれたケースも検出している。ただし、この出品は真偽が疑わしいため、Q3 2の 統計および集計には含まれていないという。

IAB の Top-3 は、大規模なビジネスを展開し、2022年 Q3 には 40~100 のアクセスを販売していた。

ハッキング・フォーラムの議論や、マーケットプレイスでの出品/削除イベントをベースにすると、企業アクセスの平均売却期間はわずか 1.6日であり、その大半が RDP/VPN タイプであった。

2022年 Q3 において、最もターゲットにされたのは米国であり、IAB オファー全体の 30.4% を占めている。この統計値は、同じく Q3 において米国企業を標的とした、ランサムウェア攻撃のシェア 39.1% に近いものとなった。

Most targeted countries by IABs in Q3 (KELA)

標的の業種を見ると、プロフェッショナル・サービスが 13.4% で、製造業が 10.8%、テクノロジーが 9.4% と、上位を占めている。また、ランサムウェア攻撃も同様の順位となっており、両者の関連性が際立っている。

Sectors IABs targeted the most in Q3 (KELA)

イニシャル・アクセス・ブローカーは、ランサムウェアの攻撃経路における不可欠な要素となっている。したがって、ネットワークを侵入から適切に保護することが、きわめて重要である。

具体的には、リモート・アクセス・サーバの VPN 内への設置や、一般に公開されているデバイスに対するアクセス制限、MFA の有効化に加えて、企業認証情報の盗難を防ぐためのフィッシング・トレーニングの実施などが効果的だとされる。

KELA の Q3 2022 Ransomware Report をベースにした、IAB (Initial Access Brokers) の動向にフォーカスした記事となっています。いわゆる、ダークウェブの大きな要素であり、そこで販売される ID や個人情報から、後続のサーバー攻撃が生じるというエコシステムが出来上がっています。この領域ですが、法的執行機関により WeLeakInfo.toWT1SHOP がシャットダウンされるという展開もありますが、8月8日の「Genesis は老舗ダークウェブ:サイバー犯罪者たちに洗練された情報とサービスを提供」などをみると、その手強さを感じてしまいます。

%d bloggers like this: