Övervakning av Dark Web

Förstå och övervakning av Dark Web

Det är viktigt för organisationer att övervaka dark web och läckta inloggningsuppgifter för att proaktivt kunna identifiera och reagera på potentiella säkerhetshot och intrång. Genom att förstå och analysera hur hackare använder stulna inloggningsuppgifter får IT- och säkerhetsansvariga ett övertag när det gäller att fatta välgrundade beslut om att minska hoten, prioritera säkerhetsåtgärder och implementera effektiva motåtgärder.

Vad är Dark Web?

Den ytliga webben, djupa webben och ”mörka” webben skiljer sig åt i fråga om tillgänglighet och anonymitet, där dark web är den mest privata och säkra. Ofta används deep och dark web omväxlande, men dark web hänvisar specifikt till krypterade och anonyma nätverk som Tor och I2P. Är den dark web så mörk? Ja, det är en blandning av både lagliga och olagliga aktiviteter, där vissa användare använder det för legitima ändamål som säker och privat kommunikation, medan andra använder det för cyberbrottslighet.

Dark webs anonymitet och kryptering gör den till en attraktiv plats för hackare. Genom att övervaka marknadsplatser och forum på dark web kan säkerhetsteamen samla in värdefull information, spåra hotaktörer och ligga steget före nya cyberhot.

Marknadsplatser och forum

Det finns ett antal marknadsplatser och forum på dark web, varav vissa är öppna för allmänheten och andra är plattformar med endast inbjudningar, där cyberbrottslingar diskuterar, köper och säljer stulna data, skadlig kod och andra olagliga varor och tjänster.Initial access brokers spelar en nyckelroll i denna underjordiska ekonomi och ger cyberbrottslingar tillgång till komprometterade system, stulna referenser samt nödvändiga verktyg.

Vilken typ av åtkomstinformation köps och säljs?

Vanliga typer av läckta referenser inkluderar fjärråtkomstinloggningar, till exempel VPN, moln- och företagssystemkonton, samt privilegierade åtkomstkonton till exempel adminkonton. En av de mest värdefulla sakerna för hackare på försäljning är data som stulits från offer av skadlig programvara för informationsstöld, ofta kallad stealer loggar, eftersom de innehåller rik data, till exempel sessionskakor, som gör det möjligt för angripare att kringgå MFA på konton.

Andra typer av känslig data som finns på den mörka webben är finansiell information, sjukvårdsjournaler och kunddata, som kan användas för identitetsstöld och andra skadliga aktiviteter.

Stulna inloggningsuppgifter kan kosta allt från några få dollar till tusentals euro, beroende på åtkomstnivå och typ av konton.

Genom en hotaktörs ögon

Efter att ha köpt läckta referenser skulle angripare fortsätta med att testa och validera de stulna inloggningarna. De specifika metoderna för validering av stulna referenser beror på flera fakta, till exempel sofistikering av angripare samt typ av konton. Till exempel kommer stulna referenser från streaming- och underhållningstjänster att kontrolleras på ett automatiserat sätt med hjälp av brute forcing och credential stuffing. Medan inställningen till stulna inloggningsuppgifter till företagssystem kommer att vara mer försiktig, där angripare kommer att kontrollera giltigheten utan att försöka slå larm.

När angriparna väl har fått fotfäste i offrens system kommer de att försöka förflytta sig i sidled och få uthållighet i det komprometterade nätverket. Ofta kommer de initiala åtkomstmäklarna antingen att säljas till högstbjudande eller användas i ransomware- och utpressningsattacker.

Förberedelser inför hotet

Övervakning och insamling av information från dark web gör det möjligt för organisationer att identifiera potentiella hot, till exempel läckta inloggningsuppgifter och försäljning av åtkomst, och ger dem möjlighet att vidta proaktiva åtgärder för att förhindra cyberhot och minimera risker, samtidigt som de säkerställer efterlevnad av internationella och regionala regelverk som NIS2 och GDPR.