0
0
A tendência está em ascensão à medida que o ransomware continua a ser lucrativo — especialmente no espaço corporativo.
Os operadores de ransomware estão agora recorrendo aos vendedores de acesso à rede em suas massas para cortar um passo difícil no processo de infecção.
Na segunda-feira, a equipe de Inteligência de Ameaças Cibernéticas (CTI) da Accenture divulgou novas pesquisas sobre tendências emergentes de segurança cibernética, incluindo uma investigação sobre a natureza das relações entre operadores de ransomware e vendedores de exploração.
De acordo com os analistas de segurança sênior da Accenture, Thomas Willkan e Paul Mansfield, comprar pontos de acesso à rede e maneiras já comprometidas de se infiltrar em um sistema alvo está aumentando em popularidade, incluindo a compra de credenciais e vulnerabilidades roubadas.
Durante os ataques, os operadores de ransomware devem primeiro encontrar um ponto de entrada em uma rede. Contas de funcionários comprometidas, configurações erradas em sistemas voltados para o público e pontos finais vulneráveis podem ser usados para implantar essa família particular de código malicioso, levando à criptografia de arquivos, discos e uma demanda de pagamento em troca de uma chave de descriptografia.
É difícil estimar quantos ataques de ransomware bem-sucedidos ocorreram este ano. A Europol acredita que esses ataques específicos muitas vezes não são relatados, com apenas incidentes graves – como a morte recente de uma mulher que precisa de cuidados urgentes que foi forçada a desviar do hospital de Duesseldorf devido a uma infecção por ransomware – tornando-se de conhecimento público.
Pagar um resgate hoje em dia pode chegar a somas de seis dígitos, ou mais, dependendo do alvo e de seu valor estimado. Agora, grupos de ransomware estão buscando cortar a fase inicial de acesso de um ataque, acelerando o processo — e potencialmente a oportunidade de receita ilícita.
Os vendedores de acesso à rede normalmente desenvolvem uma vulnerabilidade inicial e depois vendem seu trabalho em fóruns subterrâneos por algo entre US$ 300 e US$ 10.000.
A maioria das ofertas de acesso à rede no subsolo incluirá o alvo por indústria e o tipo de acesso, que vai do Citrix ao Remote Desktop Protocol (RDP), e também poderá documentar o número de máquinas detectadas na rede.
“Desde o início de 2020 e o surgimento das táticas agora populares de “ransomware com roubo de dados e extorsão”, as gangues de ransomware têm utilizado com sucesso plataformas da dark web para terceirizar aspectos complicados de um compromisso de rede”, dizem os pesquisadores. “Um ataque de ransomware bem-sucedido depende do desenvolvimento e manutenção do acesso estável à rede, que vem com um risco maior de detecção e requer tempo e esforço. Os vendedores de acesso preenchem esse nicho de mercado para grupos de ransomware.”
A partir de setembro deste ano, a Accenture rastreou mais de 25 vendedores persistentes de acesso à rede — ao lado do ocasional one-off — e mais estão entrando no mercado em uma “base semanal”.
Muitos dos vendedores estão ativos nos mesmos fóruns subterrâneos assombrados por grupos de ransomware, incluindo Maze, NetWalker, Sodinokibi, Lockbit e Avaddon.
Os vendedores já começaram a divulgar suas ofertas em threads de fórum único, em vez de posts separados, e o RDP continua sendo uma opção popular para acesso à rede. Em uma reviravolta interessante, em vez de vender uma vulnerabilidade de zero-day para um vendedor, alguns comerciantes estão usando esses bugs não reparados para explorar inúmeras redes corporativas e vender acesso a atores de ameaças em pacotes separados para gerar receita adicional.
Os clientes Citrix e Pulse Secure VPN também estão sendo mencionados em anúncios.
“Os vendedores de acesso à rede estão aproveitando as ferramentas de trabalho remotas à medida que mais da força de trabalho funciona em casa como resultado da pandemia COVID-19”, diz Accenture. “Essa relação simbiótica [vendedores e ciberataques] facilita o direcionamento contínuo de entidades governamentais e corporativas e agiliza o processo de compromisso de rede, permitindo que os criminosos cibernéticos ajam de forma mais rápida e eficiente.”
FONTE: ZDNET