Conozca a los intermediarios que conectan a los ciberdelincuentes con …



Un análisis de los corredores de acceso inicial explica cómo se infiltran en organizaciones vulnerables y venden su acceso por hasta $ 10,000.

Los operadores de ransomware que buscan víctimas pueden encontrarlas en la Dark World-wide-web, donde los agentes de acceso inicial publican listados que contienen descripciones vagas de las empresas que han logrado violar.

Los agentes de acceso inicial, los «intermediarios» de los ataques de ransomware, han notado un aumento en la demanda de sus servicios a medida que el ransomware como servicio (RaaS) gana popularidad. Sus listados han aumentado constantemente en los últimos dos años, con un aumento significativo en los últimos seis meses, según los investigadores de Electronic Shadows que publicaron hoy un análisis de estos actores de amenazas.

El trabajo de un corredor de acceso inicial es manejar los requisitos iniciales de un ataque y agilizar el proceso para que los operadores de RaaS puedan lanzar una infección exitosa. La creciente dependencia de RaaS ha creado un mercado para que prosperen los corredores de acceso inicial, explica el líder del equipo de inteligencia de amenazas, Alec Alvarado.

«Se ejerce mucha presión sobre los afiliados de ransomware para alimentar a los desarrolladores de ransomware con víctimas para generar flujo de efectivo», dice. «Si un afiliado no satisface las necesidades del desarrollador, será expulsado del programa de afiliados y perderá dinero».

El proceso comienza con la identificación de objetivos vulnerables, que los corredores a menudo hacen de forma indiscriminada con herramientas de escaneo de puertos de código abierto como Shodan o Masscan. También pueden usar herramientas de escaneo de vulnerabilidades para buscar su puerta de entrada a una organización objetivo, agrega Alvarado.

En la mayoría de los casos, los atacantes identifican a las víctimas que tienen el Protocolo de escritorio remoto (RDP) expuestas a Online. Los investigadores también han observado el acceso a las puertas de enlace de Citrix y los accesos a los controladores de dominio en las listas de acceso inicial en la Darkish Website. El acceso a Citrix puede obtenerse mediante la fuerza bruta de la puerta de enlace Citrix para proporcionar acceso remoto o aprovechar las vulnerabilidades conocidas en los productos Citrix.

Una vez que encuentran su punto de apoyo inicial, los corredores de acceso inicial exploran cuidadosamente la pink. Pueden intentar escalar privilegios o moverse lateralmente para ver a cuántos datos pueden acceder. Con esto completo, organizan su información de acceso, la empaquetan en un producto presentable y calculan cuánto dinero pueden ganarles en la clandestinidad legal.

Estos listados se pueden encontrar en todos los foros criminales, como los foros en idioma ruso XSS y Exploit, dice Alvarado. Algunos foros han comenzado a crear secciones dedicadas para listados de acceso.

El precio de cada listado puede oscilar entre $ 500 y $ 10,000 USD, informe de los investigadores, según el nivel de acceso obtenido y la organización comprometida. El acceso a grandes empresas con mayores ingresos impulsará el precio de acceso. Cuanto mayores sean los ingresos, mayor será la demanda de rescate.

«Los accesos considerablemente organizados y personalizados que requieren un esfuerzo mínimo para completar un ataque generalmente tendrán un costo más alto, ya que la mayor parte del trabajo se ha completado en ese momento», explica Alvarado. «Además, si el acceso abarca una gran parte de la purple con varios hosts, esto impulsará el costo del acceso».

Los compradores de acceso inicial pueden hacer mucho más que lanzar un ataque de ransomware. También pueden realizar espionaje corporativo, moverse lateralmente, escalar privilegios o permanecer en la purple a largo plazo para aprovechar las técnicas de vivir fuera de la tierra.

¿Cuánta información es demasiada?
Los corredores deben lograr un delicado equilibrio al escribir una lista de acceso. Podrían detallar el valor de su acceso para obtener más atención e impulsar el precio sin embargo, más información puede alertar a los investigadores de seguridad, quienes pueden identificar a la víctima y eliminar el acceso antes de que se explote.

Algunos corredores se arriesgan al limitar la descripción a datos vagos que se encuentran en Zoominfo, un sitio con información comercial como los ingresos de la empresa y el recuento de empleados. Esto les dice a los compradores potenciales cuán lucrativo podría ser un ataque sin compartir demasiada información. Los corredores también han incluido partes del símbolo de cotización bursátil de una empresa o del país donde opera.

La naturaleza sutil de su actividad y la falta de detalles en los listados dificultan la captura de un corredor de acceso inicial. Las señales de alerta pueden incluir evidencia de intentos de fuerza bruta contra servidores RDP, múltiples intentos de autenticación fallidos o evidencia de intentos de escalada de privilegios o movimiento lateral, dice Alvarado. En general, estos corredores pueden operar sin mucho riesgo porque no lanzan la campaña last y es possible que obtengan un pago.

«No realizan ataques y son más pasivos», apunta. «Desde una perspectiva de riesgo as opposed to recompensa, la recompensa es possible y el riesgo es bajo».

Kelly Sheridan es la editora de personalized de Darkish Reading, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original