Rynek „Search Your Target” napędza nową falę handlu skradzionymi poświadczeniami - Security Bez Tabu

Rynek „Search Your Target” napędza nową falę handlu skradzionymi poświadczeniami

Cybersecurity news

Wprowadzenie do problemu / definicja

Cyberprzestępczy rynek skradzionych poświadczeń stale ewoluuje, a jednym z jego nowszych modeli jest usługa określana jako „Search Your Target”. Polega ona na przeszukiwaniu ogromnych baz danych pochodzących z infostealerów i zwracaniu kupującemu wyłącznie tych rekordów, które odpowiadają wskazanemu celowi. W praktyce oznacza to, że atakujący nie musi już kupować całych paczek wykradzionych danych ani samodzielnie ich analizować.

Model ten komercjalizuje selekcję poświadczeń. Zamiast przeszukiwać masowe wycieki, nabywca może zamówić wyniki dla konkretnej domeny, organizacji, aplikacji, regionu czy typu konta. To kolejny dowód na specjalizację podziemnej gospodarki i rosnącą efektywność usług wspierających przejęcia kont oraz włamania.

W skrócie

  • „Search Your Target” to usługa wyszukiwania konkretnych poświadczeń w wielkich zbiorach danych skradzionych przez infostealery.
  • Sprzedawcy oferują filtrowanie według domeny, adresu e-mail, URL logowania, geografii, aplikacji czy numeru telefonu.
  • Model obniża barierę wejścia dla cyberprzestępców, bo eliminuje potrzebę samodzielnej analizy wycieków.
  • Dla organizacji oznacza to wyższe ryzyko przejęcia kont, ataków na SaaS, pocztę, VPN i systemy zdalnego dostępu.

Kontekst / historia

Popularność tego modelu wynika bezpośrednio z rozwoju infostealerów. Złośliwe oprogramowanie tego typu od lat kradnie zapisane w przeglądarkach loginy, hasła, ciasteczka sesyjne, dane autouzupełniania i informacje o urządzeniu. Następnie zebrane logi trafiają do repozytoriów operatorów, brokerów i sprzedawców działających w cyberprzestępczym ekosystemie.

W tradycyjnym modelu kupujący musieli nabywać duże zbiory danych i samodzielnie wyławiać z nich wartościowe rekordy. Wraz ze wzrostem liczby dostępnych logów pojawiła się potrzeba indeksowania, deduplikacji, normalizacji i szybkiego wyszukiwania. „Search Your Target” jest więc naturalnym etapem dojrzewania tego rynku — wartością nie jest już tylko sam wyciek, ale także możliwość szybkiego wydobycia użytecznych danych z ogromnych kolekcji.

Analiza techniczna

Łańcuch działania jest stosunkowo przejrzysty. Najpierw infostealer infekuje urządzenie ofiary i wykrada artefakty uwierzytelniające. Następnie dane trafiają do zaplecza operatora, a później do większych kolekcji, prywatnych chmur, dumpów lub innych przestępczych repozytoriów. Dopiero na tym etapie wchodzą podmioty świadczące usługę „Search Your Target”, których rola polega na obróbce i przeszukiwaniu danych.

Tacy operatorzy utrzymują często zbiory liczące setki milionów lub nawet miliardy rekordów. Kupujący mogą zlecać wyszukiwanie według różnych kryteriów:

  • domeny organizacji,
  • adresu e-mail,
  • adresu URL logowania,
  • lokalizacji geograficznej,
  • platformy lub aplikacji,
  • numeru telefonu,
  • kombinacji wielu pól identyfikacyjnych.

Wyniki są zwykle zwracane w ustandaryzowanych formatach używanych w podziemnym obrocie, takich jak URL:LOGIN:PASS, MAIL:PASS czy LOGIN:PASS. Standaryzacja ma duże znaczenie operacyjne, ponieważ ułatwia dalsze wykorzystanie poświadczeń w narzędziach do account takeover, phishingu, oszustw, spamu i prób uzyskania dostępu do środowisk korporacyjnych.

Analiza ofert pokazuje też, że sprzedawcy konkurują nie tylko skalą swoich baz, ale również jakością usługi. Reklamują świeżość danych, szybkość realizacji zapytań, częstotliwość aktualizacji, poziom deduplikacji oraz zdolność do łączenia rekordów z różnych kolekcji. To przypomina praktyki znane z legalnego przetwarzania danych, takie jak etykietowanie, normalizacja, indeksowanie i wzbogacanie rekordów.

Rynek ten częściowo nakłada się na segment Initial Access Broker, ale nie jest z nim tożsamy. Broker dostępu początkowego częściej sprzedaje już zweryfikowany dostęp do organizacji, zwykle droższy i bardziej operacyjnie wartościowy. „Search Your Target” koncentruje się głównie na wyszukaniu potencjalnie przydatnych poświadczeń, bez gwarancji ich aktualności lub skuteczności.

Konsekwencje / ryzyko

Najważniejszym skutkiem dla organizacji jest wyraźne obniżenie bariery wejścia dla atakujących. Podmiot o ograniczonych kompetencjach nie musi już posiadać infrastruktury do obróbki wielkich wycieków ani umiejętności analizy danych. Wystarczy budżet i precyzyjnie określony cel.

Ryzyko rośnie na kilku poziomach jednocześnie. Po pierwsze, zwiększa się prawdopodobieństwo przejęcia kont pracowników i klientów, szczególnie tam, gdzie nadal występuje ponowne użycie haseł lub brak silnego uwierzytelniania wieloskładnikowego. Po drugie, skompromitowane poświadczenia mogą otwierać drogę do usług SaaS, poczty, VPN-ów, paneli administracyjnych i systemów zdalnego dostępu. Po trzecie, nawet jeśli część rekordów jest nieaktualna, zduplikowana lub niskiej jakości, sama skala zbiorów sprawia, że atakujący często znajdują wystarczającą liczbę działających kont.

Dodatkowym wyzwaniem jest różnica między reklamowaną a rzeczywistą jakością danych. Część ofert może zawierać rekordy nieświeże albo powtarzalne, jednak nie zmienia to ogólnego obrazu zagrożenia. Nawet częściowo zanieczyszczony zbiór może mieć realną wartość operacyjną, jeśli pozwoli znaleźć kilka aktywnych kont o wysokim znaczeniu biznesowym.

Rekomendacje

Organizacje powinny traktować ekspozycję poświadczeń jako stały element krajobrazu zagrożeń, a nie jednorazowy incydent. Skuteczna odpowiedź wymaga zarówno działań prewencyjnych, jak i szybkiej walidacji ryzyka po wykryciu wycieku.

  • wymuszać wieloskładnikowe uwierzytelnianie dla wszystkich usług wewnętrznych i zewnętrznych,
  • blokować ponowne użycie haseł oraz egzekwować polityki unikalności i jakości haseł,
  • monitorować ekspozycję domen, loginów i adresów e-mail organizacji w źródłach threat intelligence,
  • resetować poświadczenia po wykryciu wycieku lub podejrzanej aktywności,
  • unieważniać sesje i tokeny w przypadku podejrzenia przejęcia ciasteczek lub danych przeglądarkowych,
  • wdrażać detekcję anomalii logowania, w tym nietypowej geolokalizacji, nowych urządzeń i niestandardowych wzorców dostępu,
  • ograniczać możliwość zapisywania poświadczeń w przeglądarkach na stacjach o podwyższonym ryzyku,
  • rozwijać ochronę endpointów przed infostealerami poprzez EDR, kontrolę aplikacji i filtrację treści,
  • stosować segmentację dostępu i zasadę najmniejszych uprawnień w systemach krytycznych.

Z perspektywy zespołów SOC i CTI szczególnie ważne jest korelowanie danych o potencjalnych wyciekach z telemetrią pochodzącą z systemów tożsamości, poczty, VPN i środowisk chmurowych. Samo pojawienie się poświadczeń w podziemnym obrocie nie zawsze oznacza skuteczne włamanie, ale powinno uruchamiać proces oceny ryzyka i działania zapobiegawcze.

Podsumowanie

„Search Your Target” pokazuje, że cyberprzestępczy handel poświadczeniami wchodzi w kolejny etap profesjonalizacji. Zamiast masowego obrotu surowymi logami coraz częściej liczy się usługa szybkiego i precyzyjnego wydobycia rekordów odpowiadających konkretnemu celowi. Dla obrońców oznacza to potrzebę szybszego wykrywania ekspozycji danych, sprawniejszej reakcji i dalszego wzmacniania kontroli tożsamości.

Nawet jeśli część reklamowanych baz jest przeszacowana lub niskiej jakości, sam model usługowy realnie zwiększa efektywność atakujących. To wystarczający powód, by organizacje traktowały kompromitację poświadczeń jako problem strategiczny, wymagający ciągłego monitorowania i konsekwentnych działań obronnych.

Źródła