Es poco probable que nombres como Novelli, orangecake, Pirat-Networks, SubComandanteVPN y zirochka signifiquen algo para la gran mayoría de los equipos de seguridad empresarial. Pero para los operadores de ransomware y otros ciberdelincuentes que buscan un acceso rápido a las redes empresariales, estos eran las corredores a acercarse durante una parte importante del año pasado.
Entre ellas, las cinco entidades representaron alrededor del 25% de todas las ofertas de acceso a redes empresariales que estuvieron disponibles para la venta en foros clandestinos entre la segunda mitad de 2021 y la primera mitad de 2022. Por un precio promedio de alrededor de $ 2,800, estos so- Los llamados intermediarios de acceso inicial (IAB, por sus siglas en inglés) vendían detalles de cuentas robadas de VPN y protocolo de escritorio remoto (RDP) y otras credenciales que los delincuentes podían usar para ingresar a las redes de más de 2,300 organizaciones en todo el mundo, sin sudar.
Un mercado vasto y en crecimiento
Los cinco operadores eran los líderes en un mercado mucho más grande y de rápido crecimiento de cientos de otros IAB similares que la empresa de seguridad Group-IB descubrió cuando realizaba una investigación para su 11.º informe anual sobre delitos de alta tecnología, lanzado esta semana.
La investigación de la compañía mostró un fuerte crecimiento interanual en la cantidad de IAB que operan en foros y mercados clandestinos: de 262 en el período de 12 meses inmediatamente anterior a 380 en el período comprendido entre la segunda mitad de 2021 y la primera mitad de 2022. Unos 327 de los IAB que Group-IB observó en funcionamiento durante ese período eran nuevas entradas en el espacio.
Los investigadores de Group-IB también descubrieron un aumento del 41% en el número de países a los que pertenecían las entidades comprometidas, de 68 el año anterior a 96 durante el período de su estudio. Casi una cuarta parte, el 24 %, de todas las ofertas de acceso inicial involucraron las redes de organizaciones con sede en los EE. UU. Otros países con un número relativamente alto de víctimas incluyeron Brasil, Canadá, Francia y el Reino Unido.
“A medida que las ventas de acceso continúan creciendo y diversificándose, los IAB son una de las principales amenazas a tener en cuenta en 2023”, advirtió Dmitry Volkov, director ejecutivo de Group-IB, en un comunicado que acompaña al nuevo informe.
“Los corredores de acceso inicial desempeñan el papel de productores de petróleo para toda la economía clandestina”, señaló. “Alimentan y facilitan las operaciones de otros delincuentes, como el ransomware y los adversarios del estado-nación”.
“Cerrajeros Oportunistas del Mundo de la Seguridad”
La propuesta de valor de las IAB en la economía del cibercrimen es que brindan a otros ciberdelincuentes una forma de establecerse fácilmente en una red de destino sin tener que hacer ningún trabajo de campo por adelantado. Los IAB realizan el trabajo técnico de ingresar a una red y robar credenciales, como las asociadas con VPN, servicios RDP, Active Directory y paneles de administración remota, que brindan acceso posterior a la misma. A menudo, pueden colocar shells web en una red comprometida para garantizar un acceso futuro persistente y luego vender los shells web. En un informe del año pasado, los investigadores del Grupo de análisis de amenazas de Google describieron las IAB como "cerrajeros oportunistas del mundo de la seguridad” que se especializan en violar un objetivo y ofrecer acceso al mismo al mejor postor.
Impulsando la economía del ransomware
Los IAB ofrecen sus productos a cualquiera que esté dispuesto a comprarlos y el mercado de sus servicios ha crecido rápidamente en los últimos dos años más o menos. Pero sus mayores clientes últimamente han sido operadores de ransomware.
Un nuevo estudio realizado por la firma de inteligencia de amenazas KELA mostró que varios ataques importantes de ransomware que involucraron a grupos como Hive, Sodinokibi, BlackByte y Quantum comenzaron con el acceso a la red desde un IAB. En un caso, los miembros del grupo de ransomware Conti se unió a un IAB para organizaciones objetivo en Ucrania.
"El incidente más notable estaba relacionado con el ataque a Medibank, un proveedor de seguros australiano, que fue atacado después de que se vendiera el acceso a la red de la empresa en un canal privado de Telegram”, dijo KELA.
Los investigadores de Group-IB descubrieron que el 70 % de los tipos de acceso que ofrecían las IAB eran detalles de cuentas RDP y VPN. Muchas de las ofertas, el 47 %, incluían acceso con derechos de administrador en la red comprometida. El veintiocho por ciento de los anuncios en los que se especificaban los derechos involucraban derechos de administración de dominio, el 23% tenía derechos de uso estándar y una pequeña fracción proporcionaba acceso a la cuenta raíz.
Los investigadores de Group-IB también encontraron anuncios de IAB para acceder a entornos Citrix, múltiples paneles web para CMS y servidores en la nube, y shells web en sistemas comprometidos. En algunos casos, los IAB incluso ofrecieron lanzar cargas útiles de movimiento lateral como Cobalt Strike Beacon o sesiones de Metasploit en nombre del comprador. Pero las ofertas de estas credenciales y servicios tendían a ser menos comunes que las que involucraban credenciales RDP y VPN.
Las organizaciones para las que las ofertas de acceso estaban más comúnmente disponibles en foros y mercados clandestinos incluían empresas manufactureras, empresas de servicios financieros, organizaciones inmobiliarias, empresas de educación y tecnología de la información.
Group-IB descubrió que el fuerte aumento en el número de entidades que operan en el espacio IAB durante el período de su estudio había hecho bajar los precios para la mayoría de las categorías de acceso inicial.
El precio promedio de $2,800 que observó la empresa fue, de hecho, menos de la mitad de los $6,500 que las IAB solían cobrar en promedio por el mismo acceso un año antes.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/threat-intelligence/initial-access-broker-market-booms-poses-growing-threat-to-enterprise-orgs-
- 2021
- 2022
- 2023
- 7
- a
- de la máquina
- Mi Cuenta
- lector activo
- administración
- Después
- Todos
- análisis
- y
- anual
- nadie
- enfoque
- en torno a
- asociado
- atacar
- ataques
- Australiano
- Hoy Disponibles
- promedio
- faro
- entre
- más grande
- Mayor
- Brasil
- Descanso
- Ruptura
- corredor
- corredores
- Ubicación: Canadá
- categoría
- ceo
- Channel
- CHARGE
- Soluciones
- cms
- Cobalt
- Algunos
- comúnmente
- Empresas
- compañía
- Comprometida
- conductible
- Cuentas
- continue
- podría
- países
- Referencias
- Los criminales
- Clientes
- ciberdelincuencia
- ciberdelincuentes
- descrito
- computadora de escritorio
- detalles
- descubierto CRISPR
- diversificar
- dominio
- DE INSCRIPCIÓN
- Soltar
- durante
- Más temprano
- economia
- Educación
- garantizar
- Empresa
- seguridad empresarial
- empresas
- entidades
- ambientes
- inmuebles
- Incluso
- facilitar
- financiero
- servicios financieros
- Firme
- empresas
- Nombre
- foros
- encontrado
- fracción
- Francia
- en
- Combustible
- futuras
- Obtén
- Donar
- Grupo procesos
- Grupo
- Crecer
- Creciendo
- crecido
- Crecimiento
- Mitad
- es
- Alta
- más alto
- Colmena
- HTTPS
- Cientos
- inmediatamente
- in
- incluido
- aumente
- información
- tecnología de la información
- inicial
- ejemplo
- aseguradora
- Intelligence
- involucra
- IT
- Apellido
- El año pasado
- Tarde
- lanzamiento
- los líderes
- mirando
- gran
- Mayoría
- Management
- Fabricación
- muchos
- Mercado
- mercados
- Industrias
- Miembros
- más,
- MEJOR DE TU
- múltiples
- hace casi
- del sistema,
- telecomunicaciones
- Nuevo
- notable
- señaló
- número
- LANZAMIENTO
- Ofrecido
- que ofrece
- Ofertas
- Aceite
- productores de petroleo
- ONE
- funcionamiento
- Operaciones
- operadores
- para las fiestas.
- Otro
- paneles
- pasado
- (PDF)
- por ciento
- período
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Jugar
- previamente
- precio
- Precios
- privada
- Productores
- valor.
- protocolo
- proporcionar
- previsto
- proveedor
- comprar
- empujó
- Cuántico
- Trimestre
- Búsqueda
- ransomware
- Ataques de ransomware
- real
- bienes raíces
- relacionado
- relativamente
- liberado
- sanaciones
- reporte
- la investigación
- investigadores
- derechos
- Función
- raíz
- Said
- Venta
- ventas
- mismo
- Segundo
- EN LINEA
- venta
- Servidores
- Servicios
- sesiones
- Varios
- agudo
- similares
- chica
- So
- vendido
- algo
- Espacio
- especializarse
- especificado
- estándar
- fundó
- Posicionamiento
- robada
- strike
- ESTUDIO
- posterior
- tal
- SUDOR
- Todas las funciones a su disposición
- Target
- equipos
- Técnico
- Tecnología
- Telegram
- El
- el mundo
- su
- esta semana
- amenaza
- amenazas
- a
- parte superior
- tipos
- Uk
- Ucrania
- utilizan el
- propuesta de
- Vasto
- las víctimas
- VPN
- VPNs
- Ver ahora
- web
- semana
- que
- QUIENES
- dispuestas
- sin
- Actividades:
- mundo
- año
- años
- zephyrnet