Conheça os intermediários que conectam os cibercriminosos às vítimas
Uma análise dos corretores de acesso inicial explica como eles invadem organizações vulneráveis e vendem seu acesso por até US $ 10.000.
Os operadores de ransomware à procura de vítimas podem encontrá-los na Dark Web, onde os corretores de acesso inicial publicam listas contendo descrições vagas de negócios que eles conseguiram violar.
Os corretores de acesso inicial, os “intermediários” dos ataques de ransomware, notaram a demanda por seus serviços à medida que o ransomware como serviço (RaaS) ganha popularidade. Suas listagens têm aumentado constantemente nos últimos dois anos, com um aumento significativo nos últimos seis meses, de acordo com pesquisadores do Digital Shadows que publicaram hoje uma análise desses agentes de ameaça.
O trabalho de um corretor de acesso inicial é lidar com os requisitos iniciais de um ataque e agilizar o processo para que os operadores RaaS possam iniciar uma infecção com sucesso. A crescente dependência do RaaS criou um mercado para o florescimento de corretores de acesso inicial, explica o líder da equipe de inteligência de ameaças, Alec Alvarado.
“Há muita pressão sobre os afiliados de ransomware para alimentar os desenvolvedores de ransomware com as vítimas para gerar fluxo de caixa”, diz ele. “Se um afiliado não atender às necessidades do desenvolvedor, ele será retirado do programa de afiliados, perdendo dinheiro.”
O processo começa com a identificação de alvos vulneráveis, o que os corretores costumam fazer indiscriminadamente com ferramentas de varredura de portas de código aberto, como Shodan ou Masscan. Eles também podem usar ferramentas de verificação de vulnerabilidade para procurar seu gateway em uma organização alvo, acrescenta Alvarado.
Na maioria dos casos, os invasores identificam as vítimas que têm o protocolo RDP (Remote Desktop Protocol) exposto na Internet. Os pesquisadores também observaram o acesso a gateways Citrix e acessos de controlador de domínio em listagens de acesso inicial na Dark Web. O acesso Citrix pode ser obtido pela força bruta do gateway Citrix para fornecer acesso remoto ou explorar vulnerabilidades conhecidas em produtos Citrix.
Assim que encontram seu ponto de apoio inicial, os corretores de acesso inicial exploram cuidadosamente a rede. Eles podem tentar escalar privilégios ou mover lateralmente para ver quantos dados eles podem acessar. Com isso completo, eles organizam suas informações de acesso, empacotam-nas em um produto apresentável e descobrem quanto dinheiro pode ganhar para eles no submundo do crime.
Essas listagens podem ser encontradas em todos os fóruns criminais, como os fóruns em russo XSS e Exploit, diz Alvarado. Alguns fóruns começaram a criar seções dedicadas para listas de acesso.
O preço de cada listagem pode variar de US $ 500 a US $ 10.000, relatam os pesquisadores , dependendo do nível de acesso obtido e da organização comprometida. O acesso a grandes empresas com receitas mais altas aumentará o preço do acesso. Quanto maior a receita, maior a demanda de resgate.
“Acessos consideravelmente organizados e adaptados que requerem esforço mínimo para concluir um ataque normalmente terão um custo mais alto, já que a maior parte do trabalho já foi concluída nesse ponto”, explica Alvarado. “Além disso, se o acesso abrange uma grande parte da rede com vários hosts, isso aumentará o custo do acesso.”
Os compradores do acesso inicial podem fazer muito mais do que lançar um ataque de ransomware. Eles também podem realizar espionagem corporativa, mover-se lateralmente, escalar privilégios ou permanecer na rede por muito tempo para tirar vantagem das técnicas de viver fora da terra.
Quanta informação é demais?
Os corretores devem encontrar um equilíbrio delicado ao escrever uma lista de acesso. Eles poderiam detalhar o valor de seu acesso para obter mais atenção e direcionar a etiqueta de preço; no entanto, mais informações podem alertar os pesquisadores de segurança, que podem identificar a vítima e remover o acesso antes que ele seja explorado.
Alguns corretores preferem limitar a descrição a dados vagos encontrados no Zoominfo, um site com informações comerciais, como receita da empresa e contagem de funcionários. Isso informa aos compradores em potencial o quão lucrativo um ataque pode ser sem compartilhar muitas informações. Os corretores também incluíram partes do símbolo da bolsa de valores de uma empresa ou do país onde ela opera.
A natureza sutil de sua atividade e a falta de detalhes nas listagens tornam difícil encontrar um corretor de acesso inicial. Os sinais de alerta podem incluir evidências de tentativas de força bruta contra servidores RDP, várias tentativas de autenticação com falha ou evidências de tentativas de escalonamento de privilégios ou movimento lateral, diz Alvarado. No geral, esses corretores podem operar sem muitos riscos porque não lançam a campanha final e provavelmente verão um pagamento.
“Eles não realizam ataques e são mais passivos”, observa. “De uma perspectiva de risco versus recompensa, a recompensa é provável e o risco é baixo.”
