Cybercriminelen die ransomware verspreiden kunnen gewoon toegang tot bepaalde organisaties kopen. Cybersecurity-bedrijf ProofPoint heeft daar aanwijzingen voor gevonden.
Zogeheten initial access brokers infecteren organisaties heel doelgericht met malware, vaak per e-mail. Vervolgens verkopen ze hun toegang aan ransomware-criminelen die gegevens stelen en versleutelen. De prijs voor die toegang bedraagt een percentage van de som losgeld die criminelen vragen, wat kan oplopen tot duizenden dollars, stellen de onderzoekers.
Hoewel Proofpoint beweert op dit moment ongeveer twaalf criminelen groepen te volgen die waarschijnlijk opereren als initial access broker, zijn er geen harde bewijzen voor de samenwerking tussen deze initial access brokers en de ransomware-criminelen.
Wel zien onderzoekers van Proofpoint dat er op hacking-forums van verschillende cybercriminelen wordt geadverteerd met toegang. Afhankelijk van de gecompromitteerde organisatie en haar winstmarges, kan toegang worden verkocht voor een paar honderd tot duizenden dollars. Toegang kan worden gekocht met cryptocurrency, meestal bitcoin.
In de afgelopen twee jaar wijzen meerdere publieke rapporten van bedrijven op een afname van de hoeveelheid tijd die cybercriminelen binnen een omgeving doorbrengen voordat ze encryptie-activiteiten uitvoeren. Bij sommige incidenten is sprake van slechts twee dagen tussen de eerste toegang en de verspreiding van ransomware. In 2019 was er nog sprake van gemiddelden van 40 dagen.
