0
0
Ransomware está em ascensão, mas em boa parte desses ataques o criminoso comprou de outro o acesso à rede
Embora o ransomware seja o cibercrime que mais rende, há um problema ainda pior: é a venda dos dados de acesso às redes das empresas, com a qual o faturamento em setembro de 2020 alcançou US$ 500 mil pelas estimativas da empresa israelense Kela, especializada em inteligência de ameaças e que pesquisa constantemente a dark web.
Num relatório publicado na segunda-feira dia 12, os especialistas explicam que o “artigo” vendido pelos criminosos é chamado simplesmente de “acesso à rede”. A expressão é usada para descrever vários vetores, níveis de permissão e pontos de entrada diferentes – desde injeção de SQL até acesso RDP de usuário com privilégios de administrador. Os “atores” que estão vendendo esses acessos à rede são apelidados de “corretores de acesso inicial”. Isso significa, segundo o relatório, que eles oferecem um ponto de entrada inicial para uma rede comprometida, que será atacada por outros cibercriminosos. Na maioria dos casos, afirma o relatório, significa um ataque de ransomware, de modo que os “corretores de acesso inicial” atuam como um elo entre ataques oportunistas e ataques direcionados.
As principais conclusões do relatório:
- Os corretores de acesso inicial estão fazendo campanhas para vender acesso aos operadores de ransomware
- Em setembro, a Kela localizou mais de cem acessos de rede iniciais à venda – três vezes mais do que em agosto de 2020. O preço cumulativo solicitado para todos os acessos ultrapassa US$ 500.000.
- Das ofertas, pelo menos 23% foram relatadas como vendidas pelos atores, com uma estimativa de receita de quase US$ 90.000.
- Aparentemente o preço do acesso depende da receita da vítima e do nível de privilégios obtidos no acesso. Um acesso de administrador de domínio pode ser de 25% a 100% mais caro do que um acesso de usuário.
- A atividade pública dos corretores de acesso inicial nas comunidades do crime cibernético fornece uma visibilidade rara sobre o funcionamento interno dos atores da ameaça; essa visibilidade deve ser aproveitada pelos defensores das rede para entender o cenário de ameaças e priorizar os mecanismos de defesa.
- A passagem do acesso à rede para um operador de ransomware divide o processo de ataque em duas fases – uma informação de TTP (táticas, técnicas e procedimentos) que pode ser inestimável na busca de ameaças e simulação de comportamento do adversário.
FONTE: CISO ADVISOR