Ein jordanischer Mann plädierte in den Vereinigten Staaten für den Betrieb, wie die Industrie einen "Access Broker" nennt: ein Vermittler, der den ersten Zugang zu Unternehmensnetzwerken verkauft und so viel schädlichere Angriffe erleichtert. Nach den juristischen Dokumenten hat diese Person - als Feras Khalil Ahmad Albashiti, 40, identifiziert und in Foren unter anderem "r1z" bekannt - zugelassen, dass sie auf dem Markt Anmeldeinformationen und Zugang zur Infrastruktur von mindestens 50 Unternehmen platziert hat. Der Fall kam in den Vereinigten Staaten, nachdem die Behörden ihre Auslieferung aus Georgien im Juli 2024 erhalten, und der Satz ist für den 11. Mai 2026 vorgesehen.
Die Zahl der Zugangsbroker ist kein passiver Vermittler: es ist ein Schlüsselstück des digitalen kriminellen Ökosystems. Diese Akteure finden oder kaufen Anmeldeinformationen, VPN-Zugriff oder -Eintragspunkte und verkaufen sie an Ransomware-Operatoren, Computer Spione oder Gruppen, die versuchen, Daten zu stehlen. Durch die Erleichterung des Eintritts reduzieren sie die technische Barriere für diejenigen, die die endgültigen Schäden durchführen und oft die Auswirkungen eines einzigen Ausfalls oder einer Filtration vervielfachen.
Im Fall von Albashiti, nach der Strafverfolgung, die offensichtliche Transaktion fand am 19. Mai 2023 statt, als er den Zugang zu einem Undercover Agenten verkaufte, der als Käufer von Anmeldeinformationen posierte, erhielt als Kryptomoneda Zahlung. Die Anklagen, die er akzeptierte, waren Betrügereien im Zusammenhang mit Zugang zu Anmeldeinformationen und verhängte Strafen, die 10 Jahre Gefängnis und Geldstrafen in Höhe von $ 250.000 oder doppelte Vorteile oder Verluste, die dem Verbrechen zugeschrieben wurden, erreichen könnten, was illustrierte, wie das US-Justizsystem Rechtsinstrumente zur Bestrafung solcher illegaler Geschäfte bereitstellte.
Die Tatsache, dass ein Beklagter verhaftet und ausgeliefert wurde, bedeutet nicht, dass das Problem gelöst wurde. Im Gegenteil, die Nachricht passt zu einem breiteren Trend: Verhaftungen und Untersuchungen zum Abbau von Netzwerken von Zugangsvermittlern haben in den letzten Jahren zugenommen. Letzten November, zum Beispiel, ein anderer National - in diesem russischen Fall - bat schuldig, als Zugang Broker für Ransomware Yanluowang Tochtergesellschaften, die Unternehmen in den Vereinigten Staaten angegriffen. Diese Bewegungen haben die Aufmerksamkeit der Sicherheitsbehörden und der Unternehmen auf sich gezogen, weil die Broker es kriminellen Gruppen ermöglichen, ihre Operationen effizient zu erweitern.
Agencies und große Technologieunternehmen haben auch über zunehmend anspruchsvolle Taktiken gewarnt. Microsoft beispielsweise hat Schauspieler, die legitime Windows-Dienstprogramme und Techniken nutzen, um Endpoints-administrierte Erkennungs- und Antwortlösungen (EDR) zu umgehen, mit dem Ziel, Malware zu installieren und aufrechtzuerhalten, ohne erkannt zu werden, was das Risiko erhöht, dass der erste Zugriff zu einem verheerenden Angriff wird. Um Analysen und technische Hinweise zu diesen Taktiken zu lesen, sind die Sicherheitspublikationen und Blogs von Lieferanten und Behörden wichtige Ressourcen: Microsofts Sicherheitsseite bietet Berichte und Anleitungen zu aufstrebenden Bedrohungen in seinem Analysebereich ( Microsoft Security Blog), und in den Vereinigten Staaten hält die Agentur für Infrastruktursicherheit und Cybersicherheit (CISA) Ressourcen und Warnungen auf Ransomware und Eingabevektoren ( CISA - Ransomware Anleitung)
Das Phänomen stellt Fragen der öffentlichen Ordnung und der Unternehmenssicherheit. Aus rechtlicher Sicht ist die Verfolgung von Personen, die Zugang verkaufen, nützlich und notwendig, aber von sich aus verringert sie nicht Angebot oder Nachfrage: Solange es schwache Anmeldeinformationen, schlecht konfigurierte Dienste oder exponierte Konten gibt, wird es Markt. Aus einer defensiven Perspektive müssen Organisationen Maßnahmen ergreifen, die die Angriffsfläche reduzieren und abnorme Muster erkennen, bevor ein Eindringling sich seitlich bewegen kann.
Es ist nicht nur Technologie, sondern Prozesse und Kultur: Multifaktor-Authentifizierung, Netzwerksegmentierung, strenges Privilegmanagement und ständige Überwachung sind wesentliche Bestandteile. Der operative Kontext betrifft auch: Die Broker untersuchen Ziele, um wertvollen Zugang zu verkaufen, so dass die Sichtbarkeit, auf der Konten Zugang zu kritischen Systemen haben und die Fähigkeit, schnell auf engagierte Anmeldeinformationen zu reagieren, entscheidend ist. Technische Berichte und Bedrohungsanalysen, die von europäischen Organisationen und Forschungszentren erstellt werden, bieten umfassendere Kontexte darüber, wie sich diese Tätigkeit entwickelt und welche Praktiken dazu beitragen, diese zu mindern; zum Beispiel veröffentlicht die Agentur der Europäischen Union für Cybersicherheit Bewertungen und Leitlinien, die Taktik und Risiko verstehen ( ENISA)
Wenn es eine klare Lektion in der Folge von öffentlichen Fällen und Warnungen gibt: Angreifen der Cyberkriminalität Wirtschaft erfordert Handlung auf mehreren Fronten. Verhaftungen und Auslieferungen beeinflussen das Angebot und dienen als Abschreckung, aber Nachfrage bleibt bestehen, solange Ransomware-Betreiber und andere Cyberkriminelle Vorteile erhalten. Deshalb ist es neben der Stärkung der technischen Kontrollen entscheidend, dass Unternehmen und Regierungen den Informationsaustausch über verkaufte Intrusionen und Zugriffe verbessern und mit Geheimdiensten und Antwortanbietern zusammenarbeiten, um Angriffsketten in den frühen Stadien zu unterbrechen.
Die Geschichte des Zugangs-Brokers, der schuldig plädierte, zeigt das kommerzielle Gesicht der Bedrohung: hinter jedem begangenen Anmeldetag kann ein Verkäufer sein, der es dem besten Bieter bietet, und hinter jedem Verkauf ein echtes Risiko für Mitarbeiter, Kunden und Business Continuity. Effektive Verteidigung bedeutet, diesen unerlaubten Markt zu verstehen, die Exposition zu reduzieren und schnelle und koordinierte öffentlich-private Antworten zu artikulieren. Für diejenigen, die wissen wollen, warum diese Zahlen so gefährlich sind und wie sich Unternehmen schützen können, sind die Seiten der Agenturen wie das Justizministerium und spezialisierte Sicherheitspublikationen ein guter Ausgangspunkt ( Abteilung Justiz - Pressemitteilungen)
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...