Quem é a vítima ideal de ransomware?

Views: 422
0 0
Read Time:7 Minute, 39 Second

Quem é a vítima ideal de ransomware? Receita, tamanho, geografia e nível de acesso ajudam a determinar o preço de venda para acesso.

O tipo de vítima mais procurado por atacantes com ransomware é uma grande empresa com sede nos Estados Unidos com pelo menos US $ 100 milhões em receita, não operando no setor de saúde ou educação, para o qual o acesso remoto está disponível via protocolo de desktop remoto ou credenciais de VPN.

Resultado inicial:

  • Em julho de 2021, o KELA encontrou 48 tópicos ativos onde os atores alegaram que queriam comprar diferentes tipos de acesso. 46% deles foram criados naquele mês, ilustrando a demanda por listagens de acesso.
  • 40% dos atores que buscavam comprar acessos foram identificados como participantes ativos na cadeia de suprimentos do ransomware como serviço (RaaS) – operadoras, afiliadas ou intermediários.
  • Os atacantes de ransomware parecem formar “padrões da indústria”, definindo uma vítima ideal com base em sua receita e geografia e excluindo certos setores e países da lista de alvos. Em média, os atores ativos em julho de 2021 pretendiam comprar o acesso a empresas norte-americanas com receitas superiores a 100 milhões de dólares. Quase metade deles se recusou a comprar acesso a empresas dos setores de saúde e educação.
  • Os atacantes de ransomware estão prontos para comprar todos os tipos de acesso à rede, com RDP e VPN sendo os requisitos mais básicos. Os produtos mais comuns (habilitando o acesso à rede) mencionados foram Citrix, Palo Alto Networks, VMware, Fortinet e Cisco.
  • Os atacantes de ransomware estão prontos para pagar pelo acesso de até 100.000 dólares, com a maioria dos atores definindo os limites pela metade desse preço – 56.250 dólares.
  • As semelhanças entre os requisitos dos atores relacionados ao ransomware para vítimas e listagens de acesso e condições para IABs ilustram que as operações RaaS agem como empresas corporativas.

 

A empresa israelense de inteligência de ameaças Kela apresenta os resultados em seu novo relatório, reunindo dezenas de tópicos de discussão ativos que rastreou em fóruns de crimes cibernéticos durante o mês de julho, dedicados à compra de acesso inicial às redes. Cerca de metade dos dados encontrados foram criados no mesmo mês, sugerindo que o mercado para fornecer esse acesso continua a prosperar, diz ele.

Compramos acessos VPN, RDP, Citrix, com direitos de administrador de domínio.“ 

Nos fóruns e mercados do cibercrime, os corretores de acesso inicial continuam a vender o que é conhecido como “acessos“. Para os compradores, a vantagem de comprar acesso é que isso os evita de violar as próprias vítimas em potencial. Em vez disso, eles podem escolher em um menu de opções, o que lhes permite passar mais tempo infectando mais vítimas com ransomware e outros malwares, roubando dados ou monetizando tais esforços.

Ao lidar com corretores de acesso inicial, o acesso vendido pode incluir acesso à rede, mas na maioria das vezes se refere à capacidade de comprar credenciais RDP ou VPN funcionais, escreve Victoria Kivilevich , analista de inteligência de ameaças da Kela que escreveu o novo relatório. Com base nas postagens do fórum que Kela revisou, ela diz que outros produtos mais desejados para facilitar o acesso incluem:

  • Cisco;
  • Citrix;
  • Fortinet ;
  • Palo Alto Networks – incluindo GlobalProtect VPN ;
  • VMware, incluindo ESXi .

O preço mínimo e máximo médio que um comprador pagará pelo acesso é, respectivamente, $ 1.600 e $ 56.250, relata Kela, embora, em alguns casos, os corretores de acesso inicial aceitem, em vez disso, uma redução de qualquer resgate pago pela vítima, sendo a taxa normal para um corretor cerca de 10% de qualquer pagamento de resgate .

Anúncio no fórum de crimes cibernéticos Exploit pela operação ransomware-as-a-service BlackMatter , buscando parceiros corretores de acesso inicial, em troca de pagamento ou uma porcentagem de qualquer resgate pago (Fonte: Recorded Future)

 Quais vítimas obtêm os preços mais altos?

Para atacantes com ransomware que desejam comprar acesso, quais tipos de vítimas são interessantes e quais não são?

Geograficamente, 47% de todos os compradores disseram que queriam vítimas dos EUA; 37% disseram que queriam vítimas canadenses ou australianas; e 32% procuraram vítimas na Europa, disse Kivilevich, observando que “a maioria dos anúncios incluía uma chamada para vários países“.

Do ponto de vista da receita, a receita média anual desejada para uma vítima era de US $ 100 milhões, embora às vezes essa demanda se baseasse na localização, diz Kivilevich. “Por exemplo, um dos atores descreveu a seguinte fórmula: a receita deve ser superior a US $ 5 milhões para as vítimas dos Estados Unidos, mais de US $ 20 milhões para as vítimas europeias e mais de US $ 40 milhões para os países do ‘terceiro mundo‘”, diz ela.

Um comprador lista os tipos de acesso desejados, com taxas vinculadas à receita anual da vítima (Fonte: Kela)

Listas negras frequentes: Rússia, saúde

Talvez previsivelmente, a Rússia e outros países da Comunidade de Estados Independentes – Azerbaijão, Armênia, Bielo-Rússia, Geórgia, Cazaquistão, Quirguistão, Moldávia, Rússia, Tadjiquistão, Turcomenistão, Uzbequistão, Ucrânia – tendem a estar nas listas negras de compradores, relata Kela.

Também nas listas negras de compradores: organizações dos setores de saúde e educação, para 47% de todos os compradores; agências governamentais para 37% dos compradores; e organizações sem fins lucrativos para 26% dos compradores, diz Kela. Evitar assistência médica parece ser devido ao código moral de um atacante, diz ele, ao passo que entidades governamentais serão evitadas para tentar escapar da atenção indesejada da polícia, enquanto a educação e as organizações sem fins lucrativos são percebidas como pagando muito pouco para valer o esforço, diz.

Nem todas as vendas de acesso são públicas

Essa pesquisa traz ressalvas. Para começar, nem todos os acessos à venda são listados em fóruns onde podem ser acompanhados publicamente. Em alguns casos, os corretores de acesso inicial terão acordos exclusivos com uma operação de ransomware como serviço específica ou podem, pelo menos, dar a ela o direito de preferência em todos os novos acessos.

Gangue de ransomware Crylock anuncia para fornecedores regulares de acesso (Fonte: Kela)

Além disso, alguns corretores listam acessos gerais para venda, mas apenas enviarão mensagens a clientes em potencial diretamente – por exemplo, por meio de ferramentas de mensagem Telegraph ou Jabber – para compartilhar uma lista completa do que está à venda e também para negociar preços.

Takeaways defensivos

O que os defensores da rede devem fazer com as informações acima? Claramente, manter o acesso RDP e VPN bloqueado deve ser uma prioridade, assim como habilitar a autenticação de dois fatores sempre que possível, mas especialmente para acesso de nível de administrador ao Active Directory e outros sistemas principais que os invasores visam regularmente.

Manter listas completas de todos os ativos internos e garantir que eles estejam sendo devidamente defendidos, bem como atualizados e todos os patches de segurança instalados, também é essencial. Embora isso possa parecer óbvio, as agências de segurança cibernética nos EUA e no Reino Unido continuam a alertar que muitas organizações têm falhado em corrigir seus dispositivos – especialmente incluindo dispositivos Citrix, Fortinet, Pulse Secure e Palo Alto VPN e servidores Microsoft Exchange – para eliminar vulnerabilidades conhecidas e que os invasores continuem explorando-as em massa para obter acesso.

Finalmente, embora o estudo acima tenha analisado as tendências de acesso dos atacantes com ransomware, é claro, eles não são o único tipo de atacante que busca acesso. Como diz Kivilevich de Kela: “É crucial lembrar que o acesso a uma empresa nas mãos erradas pode ser explorado não apenas para implantação de ransomware e roubo de dados, mas também para outras campanhas maliciosas.

Medidas de mitigação para os defensores da empresa

A demanda por listas de acesso em fóruns de crimes cibernéticos está crescendo, com mais atores anunciando que estão prontos para comprar pontos de entrada em redes, sites, armazenamento e muito mais. Esta é outra prova da manutenção do cibercrime, especialmente operações de ransomware-as-a-service (RaaS) que dependem de diferentes especialistas para realizar seus ataques. No entanto, é crucial lembrar que o acesso a uma empresa nas mãos erradas pode ser explorado não apenas para implantar ransomware e roubar dados, mas também para outras campanhas maliciosas.

Segunda a Kela, enfrentar várias ameaças exige que os defensores da empresa invistam em:

  1. Conscientização e treinamento sobre segurança cibernética para todos os principais interessados ​​e funcionários para garantir que os principais indivíduos saibam como usar com segurança suas credenciais e informações pessoais online. Este treinamento cibernético deve incluir a especificação de como identificar atividades suspeitas, como possíveis e-mails fraudulentos ou solicitações incomuns de indivíduos ou endereços de e-mail não autorizados.
  2. Monitoramento regular de vulnerabilidade e correção para proteger continuamente toda a sua infraestrutura de rede e evitar qualquer acesso não autorizado por Brokers de Acesso Inicial ou outros intrusos de rede.
  3. Monitoramento direcionado e automatizado dos principais ativos para detectar imediatamente as ameaças que emergem do ecossistema clandestino do crime cibernético. O monitoramento constante automatizado e escalonável dos ativos de uma organização pode melhorar significativamente a manutenção de uma superfície de ataque reduzida, ajudando as organizações a impedir possíveis tentativas de ataques cibernéticos contra elas.

FONTE: MINUTO DA SEGURANÇA

POSTS RELACIONADOS