0
0
O acesso à rede a várias indústrias está sendo oferecido em fóruns subterrâneos por apenas US$ 300 cada – e pesquisadores alertam que grupos de ransomware como Maze e NetWalker podem estar comprando.
Por preços entre US$ 300 e US$ 10.000, os grupos de ransomware têm a oportunidade de comprar facilmente acesso inicial à rede a empresas já comprometidas em fóruns subterrâneos. Pesquisadores alertam que essa oportunidade dá a grupos como Maze ou Sodinokibi a capacidade de iniciar ataques de ransomware mais facilmente em vários setores.
A capacidade de comprar acesso inicial à rede dá aos cibercriminosos uma alça mais rápida na infiltração de redes corporativas e governamentais, para que eles possam se concentrar em estabelecer persistência e se mover lateralmente.
“A venda de acesso à rede progrediu de uma oferta subterrânea de nicho ao longo de 2017 para um pilar central da atividade subterrânea criminosa em 2020”, disseram Thomas Willkan e Paul Mansfield, analistas seniores da equipe de reconhecimento CTI da Accenture, em um post de segunda-feira.
Os vendedores por trás dessa atividade normalmente desenvolvem uma vulnerabilidade inicial da rede e se infiltram na rede de vítimas para obter acesso completo à rede corporativa. Uma vez que esse acesso é adquirido, os grupos de ameaças então vendem-no em fóruns da dark web. O preço depende do tamanho e receita da vítima.
As ofertas de acesso à rede são normalmente anunciadas em fóruns subterrâneos com informações do setor de vítimas (como bancos ou varejo), o tipo de acesso à venda (VPN, Citrix ou protocolo de desktop remoto, por exemplo), o número de máquinas na rede, o país em que a vítima opera e muito mais (como o número de funcionários ou receita da empresa).
Em setembro, pesquisadores rastrearam mais de 25 vendedores persistentes de acesso à rede – com mais entrando em cena semanalmente. Esses vendedores estão operando nos mesmos fóruns que os atores associados às gangues de ransomware Maze, Lockbit, Avaddon, Exorcista, NetWalker, Sodinokibi e outros, disseram eles.
“Embora seja difícil provar que um acesso à rede anunciado está vinculado a um ataque específico de ransomware, a partir da análise da atividade de atores de ameaças avaliamos com alta confiança que alguns dos acessos estão sendo comprados por grupos de ransomware e afiliados, permitindo assim ataques potencialmente devastadores de ransomware a entidades corporativas”, disseram eles.
Após uma inspeção mais aprofundada desses vendedores de acesso à rede, os pesquisadores observaram que as conexões de RDP comprometidas continuam sendo o vetor de ataque mais comum – no entanto, os cibercriminosos estão cada vez mais oferecendo outros vetores, incluindo clientes comprometidos citrix e VPN Pulse Secure.
“Avaliamos que os vendedores de acesso à rede estão aproveitando as ferramentas de trabalho remotas à medida que mais da força de trabalho funciona em casa como resultado da pandemia COVID-19”, disseram os pesquisadores.
Outra tendência é que os vendedores de acesso à rede estejam começando a usar explorações de zero-day e vender o próprio acesso à rede, em vez de vender a exploração de zero-day por conta própria. Um ator de ameaças chamado Frankknox, por exemplo, começou a anunciar um dia zero visando um servidor de e-mail popular por US$ 250.000 – no entanto, ele mais tarde matou essa venda e começou a explorar o zero-day si mesmo, e passou a oferecer acesso à rede corporativa para 36 empresas. Esse acesso à rede foi comercializado por entre US$ 2.000 e US$ 20.000 – e o grupo de ameaças alegou ter vendido acesso a pelo menos 11 organizações.
As empresas podem se proteger contra o compromisso de rede e ataques de ransomware, configurando recursos de monitoramento, fazendo backup regular de seus dados e empregando práticas recomendadas para o uso de RDP, disseram pesquisadores.
“Avaliamos com alta confiança que a relação entre o corretor de acesso inicial e o grupo de ransomware continuará a prosperar em 2020 e além, ganhando os atores de ameaça por trás disso enormes lucros”, disseram eles. “Essa relação simbiótica facilita o direcionamento contínuo de entidades governamentais e corporativas e agiliza o processo de compromisso de rede, permitindo que os criminosos cibernéticos ajam de forma mais rápida e eficiente.”
FONTE: THREATPOST