Initial Access Broker (IAB)
Что такое Initial Access Broker (IAB)?
Initial Access Broker (IAB)Киберпреступный специалист, который добывает несанкционированный доступ к корпоративным сетям и продаёт его другим преступникам, особенно партнёрам ransomware-группировок.
Initial Access Brokers (IAB) образуют отдельный слой киберпреступной экономики. Они специализируются на закреплении в организациях через фишинг, логи infostealer, валидные VPN- или RDP-учётные записи, размещение веб-шеллов и эксплуатацию публичных уязвимостей (Citrix, Fortinet, Pulse Secure, Ivanti, Microsoft Exchange). Доступы выставляются на русскоязычных форумах вроде Exploit и XSS, в Telegram-каналах или продаются частным образом. Объявления указывают отрасль, выручку, страну и тип доступа; цены — от нескольких сотен до десятков тысяч долларов. Основные покупатели — партнёры ransomware, BEC-группы и группы хищения криптовалют. IAB существенно ускоряют вторжения и подчёркивают важность патч-менеджмента и гигиены учётных записей.
● Примеры
- 01
IAB размещает на русскоязычном форуме объявление о продаже VPN-доступа к медицинскому провайдеру в США за 5000 USD.
- 02
Conti и LockBit среди прочих ransomware-групп в 2021—2023 годах опирались на IAB для масштабирования кампаний.
● Частые вопросы
Что такое Initial Access Broker (IAB)?
Киберпреступный специалист, который добывает несанкционированный доступ к корпоративным сетям и продаёт его другим преступникам, особенно партнёрам ransomware-группировок. Относится к категории Защита и операции в кибербезопасности.
Что означает Initial Access Broker (IAB)?
Киберпреступный специалист, который добывает несанкционированный доступ к корпоративным сетям и продаёт его другим преступникам, особенно партнёрам ransomware-группировок.
Как работает Initial Access Broker (IAB)?
Initial Access Brokers (IAB) образуют отдельный слой киберпреступной экономики. Они специализируются на закреплении в организациях через фишинг, логи infostealer, валидные VPN- или RDP-учётные записи, размещение веб-шеллов и эксплуатацию публичных уязвимостей (Citrix, Fortinet, Pulse Secure, Ivanti, Microsoft Exchange). Доступы выставляются на русскоязычных форумах вроде Exploit и XSS, в Telegram-каналах или продаются частным образом. Объявления указывают отрасль, выручку, страну и тип доступа; цены — от нескольких сотен до десятков тысяч долларов. Основные покупатели — партнёры ransomware, BEC-группы и группы хищения криптовалют. IAB существенно ускоряют вторжения и подчёркивают важность патч-менеджмента и гигиены учётных записей.
Как защититься от Initial Access Broker (IAB)?
Защита от Initial Access Broker (IAB) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Initial Access Broker (IAB)?
Распространённые альтернативные названия: Брокер доступа, IAB.
● Связанные термины
- defense-ops№ 901
Ransomware-группировка
Финансово мотивированная киберпреступная группа, разрабатывающая, эксплуатирующая или распространяющая шифровальщик ради вымогательства у организаций.
- defense-ops№ 268
Cybercrime-as-a-Service (CaaS)
Подпольная модель сервисов, в которой специализированные преступные поставщики продают инструменты, инфраструктуру или экспертизу, чтобы клиенты могли проводить атаки без собственных компетенций.
- attacks№ 821
Фишинг
Атака с применением социальной инженерии, при которой злоумышленник выдаёт себя за доверенную сторону, чтобы заставить жертву раскрыть учётные данные, перевести деньги или запустить вредоносное ПО.
- malware№ 531
Инфостилер
Вредоносное ПО, собирающее учётные данные, cookie, токены, криптокошельки и другие ценные данные с заражённого устройства и отправляющее их злоумышленнику.
- attacks№ 232
Подстановка учётных данных
Автоматизированная атака, при которой огромные списки логин/пароль, утёкшие из одного сервиса, перебираются на других сервисах, используя повторное использование паролей.
- malware№ 902
Ransomware-as-a-Service (RaaS)
Криминальная бизнес-модель, в которой операторы шифровальщика сдают своё ВПО и инфраструктуру в аренду партнёрам, выполняющим атаки и делящимся прибылью.
● См. также
- № 624LockBit
- № 215Ransomware Conti
- № 099BlackCat / ALPHV
- № 535Первоначальный доступ
- № 098Чёрный хакер
- № 271Даркнет
- № 664Шифровальщик Medusa