Overvåking av dark web

Forstå dark web og overvåking av det dark web

Det er avgjørende for organisasjoner å overvåke det dark web og lekket legitimasjon for å kunne identifisere og reagere proaktivt på potensielle sikkerhetstrusler og sikkerhetsbrudd. Ved å forstå og analysere hackernes bruk av stjålet legitimasjon vil IT- og sikkerhetsledere få et overtak når det gjelder å ta informerte beslutninger om trusselreduksjon, prioritere sikkerhetstiltak og iverksette effektive mottiltak.

Hva er dark web det mørke nettet?

Det overflatiske nettet, det dype nettet og det dark web skiller seg fra hverandre når det gjelder grad av tilgjengelighet og anonymitet, der det dark web er det mest private og sikre. Ofte brukes begrepene «deep web» og «dark web» om hverandre, men «dark web» refererer spesifikt til krypterte og anonyme nettverk som «Tor» og «I2P». Er det mørke nettet så mørkt? Vel, det er en blanding av både lovlige og ulovlige aktiviteter, der noen brukere bruker det til legitime formål som sikker og privat kommunikasjon, mens andre bruker det til cyberkriminalitet.

Det dark webs anonymitet og kryptering gjør det til et attraktivt sted for hackere. Ved å overvåke markedsplasser og fora på det mørke nettet kan sikkerhetsteamene samle verdifull etterretning, spore trusselaktører og ligge i forkant av nye cybertrusler.

Markedsplasser og fora

Det finnes en rekke markedsplasser og fora på det dark web, hvorav noen er åpne for allmennheten, mens andre er plattformer kun for inviterte, der nettkriminelle diskuterer, kjøper og selger stjålne data, skadevare og andre ulovlige varer og tjenester.nbsp;Initial access brokers spiller en nøkkelrolle i denne undergrunnsøkonomien, og gir nettkriminelle tilgang til kompromitterte systemer, stjålet legitimasjon og nødvendig verktøy.

Hva slags tilgangsinformasjon kjøpes og selges?

Vanlige typer lekket legitimasjon inkluderer pålogginger for ekstern tilgang, som VPN, sky- og bedriftssystemkontoer, samt privilegerte tilgangskontoer som administratorkontoer. En av de mest verdifulle varene hackere selger, er data som stjeles fra ofrene ved hjelp av skadelig programvare som stjeler informasjon, ofte kalt stjelerlogger, ettersom de inneholder omfattende data, for eksempel øktinformasjonskapsler, som gjør det mulig for angriperne å omgå MFA på kontoer.

Andre typer sensitive data som kan finnes på det mørke nettet, er blant annet finansiell informasjon, helseopplysninger og kundedata, som kan brukes til identitetstyveri og andre ondsinnede aktiviteter.

Stjålet legitimasjon kan koste alt fra noen få dollar til tusenvis av euro, avhengig av tilgangsnivået og typen kontoer.

Gjennom øynene til en trusselaktør

Etter å ha kjøpt lekket innloggingsinformasjon fortsetter angriperne med å teste og validere de stjålne påloggingene. De spesifikke metodene for validering av stjålet påloggingsinformasjon avhenger av flere faktorer, for eksempel hvor sofistikerte angriperne er og hvilken type kontoer det er snakk om. For eksempel vil stjålet påloggingsinformasjon fra strømme- og underholdningstjenester bli kontrollert på en automatisert måte ved hjelp av brute forcing og credential stuffing. Mens holdningen til stjålet legitimasjon til bedriftssystemer vil være mer forsiktig, der angriperne vil sjekke gyldigheten uten å prøve å utløse alarmer.

Når angriperne først har fått fotfeste i offersystemene, vil de forsøke å bevege seg sideveis og få utholdenhet i det kompromitterte nettverket. Ofte vil de første tilgangsmeglerne enten bli solgt til høystbydende eller brukt i løsepengevirus og utpressingsangrep.

Forbereder seg på trusselen

Overvåking og innhenting av informasjon fra det dark web gjør det mulig for organisasjoner å identifisere potensielle trusler, som for eksempel lekket legitimasjon og tilgangssalg, og lar dem ta proaktive skritt for å forhindre cybertrusler og minimere risiko, samtidig som de sikrer samsvar med internasjonale og regionale forskrifter som NIS2 og GDPR.