0
0
A Trend Micro divulgou uma pesquisa detalhando a obscura cadeia de suprimentos de crimes cibernéticos por trás de grande parte do recente aumento de ataques de ransomware. A demanda aumentou tanto nos últimos dois anos que muitos mercados cibercriminosos agora têm suas próprias seções de “Acesso como Serviço”.
“A atenção da mídia e da segurança cibernética corporativa tem sido focada apenas na carga útil do ransomware quando precisamos nos concentrar primeiro em mitigar a atividade dos corretores de acesso iniciais”, disse David Sancho, pesquisador sênior de ameaças da Trend Micro.
“Os socorristas incidentes geralmente precisam investigar duas ou mais cadeias de ataque sobrepostas para identificar a causa raiz de um ataque de ransomware, o que muitas vezes complica o processo geral de IR. As equipes poderiam se antecipar a esse problema monitorando a atividade por corretores de acesso que roubam e vendem acesso à rede corporativa – essencialmente cortando o suprimento de atores de ransomware.”
A pesquisa é baseada em uma análise de mais de 900 listagens de corretores de acesso de janeiro a agosto de 2021 em vários fóruns de crimes cibernéticos baseados em inglês e russo.
A educação foi o setor mais frequentemente apresentado, respondendo por 36% dos anúncios—mais do que o triplo da segunda e terceira indústrias, manufatura e serviços profissionais mais direcionados, que representam 11%.
Três tipos principais de corretores de acesso
- Vendedores oportunistas que estão focados em obter um lucro rápido e não gastam todo o seu tempo no acesso.
- Corretores dedicados são hackers sofisticados e habilidosos que oferecem acesso a uma variedade de empresas diferentes. Seus serviços são frequentemente usados por afiliados e grupos menores de ransomware.
- Lojas online que oferecem credenciais RDP e VPN. Essas lojas dedicadas só garantem acesso a uma única máquina, em vez de uma rede ou organização inteira. No entanto, eles representam uma maneira simples e automatizada para cibercriminosos com conjuntos de habilidades mais baixos comprarem acesso. Eles podem até pesquisar por localização, ISP, sistema operacional, número da porta, direitos de administrador ou nome da empresa.
A maioria das ofertas de corretores de acesso envolve um conjunto simples de credenciais que podem ter sido obtidas de: Violações anteriores e quebra de hash de senha; computadores bot comprometidos; exploração de vulnerabilidades em gateways VPN, servidores web, etc.; ou ataques oportunistas únicos.
Os preços variam dependendo do tipo de acesso (máquina única ou rede/corporação inteira), receita anual da empresa e quanto trabalho extra o comprador precisa fazer. Embora o acesso RDP possa ser obtido por apenas US$10, o preço médio das credenciais administrativas em uma empresa é de cerca de US$ 8.500. No entanto, os preços podem chegar a US$ 100.000.
Estratégias recomendadas para defensores
- Monitorar por violações públicas
- Acione uma redefinição de senha para todos os usuários se suspeitar que as credenciais corporativas possam ser violadas
- Configurar Autenticação Multifatorial (MFA)
- Monitore o comportamento do usuário
- Assista à DMZ e assuma que serviços voltados para a Internet, como VPN, webmail e servidores web, estão sob ataque constante
- Implemente segmentação de rede e microssegmentação
- Implante políticas de senha de melhores práticas
- Implemente alguma forma de arquitetura de confiança zero
FONTE: HELPNET SECURITY