0
0
Uma descoberta recente de três grupos de ameaças separados usando a mesma infraestrutura para realizar uma série de atividades maliciosas concentrou uma nova atenção no crescente papel dos chamados corretores de acesso inicial (IABs) na economia subterrânea de crimes cibernéticos.
IABs são grupos de ameaças que normalmente invadem uma rede de destino e depois vendem acesso a essa rede para o maior lance nos mercados da Dark Web. Em alguns casos, eles podem simplesmente facilitar a venda de acesso a uma rede comprometida, fornecendo serviços de intermediários.
Especialistas em segurança consideram esses operadores como uma ameaça crescente porque permitem que cibercriminosos — de quase qualquer calibre — entrem em uma rede rapidamente e com pouco esforço próprio. Assim como os provedores de IaaS permitem que organizações legítimas dimensionem as operações com relativa facilidade, os IABs estão dando aos atores de ameaças a capacidade de roubar dados, implantar ransomware e distribuir malware sem ter que se preocupar com reconhecimento e atividade inicial de intrusão.
“[O modelo de negócios] se assemelha a um relacionamento que uma organização empresarial legítima chamaria de ‘parceiros de canal'”, diz Eric Milam, vice-presidente de pesquisa e inteligência da BlackBerry, que descobriu recentemente um desses IABs que agora está rastreando como Zebra2104. “Já foi dito antes o quanto as organizações de crimes cibernéticos geralmente operam como empresas regulares. Esta é outra faceta do mundo dos negócios legítimos que eles adotaram, simplesmente porque funciona tão bem.”
Analistas de segurança da BlackBerry tropeçaram na operação do Zebra2104 recentemente ao realizar pesquisas para um livro. Os pesquisadores da empresa observaram um domínio que haviam encontrado em uma caçada a ameaças anterior e decidiram investigar mais.
O esforço mostrou que dois grupos de ransomware — MountLocker e Phobos — e outro grupo avançado de ameaças persistentes motivado pela ciberespionagem chamado StrongPity usaram separadamente a mesma infraestrutura em suas campanhas em vários pontos. A telemetria que os pesquisadores da BlackBerry descobriram e analisaram mostrou que o Zebra2104 forneceu o acesso inicial aos ambientes das vítimas a cada grupo de ameaças.
“Os grupos de ameaças usaram a infraestrutura de maneiras diferentes”, diz Milam. Os operadores do Mount Locker e Phobos usaram a infraestrutura que o Zebra2104 forneceu para implantar Cobalt Strike Beacons e seu ransomware homônimo para ganho financeiro. A gangue StrongPity, enquanto isso, implantou seu próprio malware homônimo principalmente para roubar dados.
“Até onde sabemos, os grupos de ameaças não usaram as redes comprometidas ao mesmo tempo, pois isso não faria sentido do ponto de vista logístico”, diz Milam.
Pesquisadores da BlackBerry não conseguiram determinar como os três grupos de ameaças díspares conseguiram esconder suas campanhas das organizações vítimas. Também não está claro se Zebra2104 obteve acesso ao próprio ambiente comprometido ou se era um intermediário entre as partes. Se de fato tivesse sido o único a invadir o ambiente, o acesso inicial poderia ter acontecido de várias maneiras, inclusive via spear-phishing, senhas comprometidas ou fracas, explorações de vulnerabilidade ou um insider malicioso.
Uma coisa que os pesquisadores da BlackBerry descobriram foi que a infraestrutura à qual o Zebra2014 estava vendendo acesso tem fortes laços com uma campanha de spam malicioso que a Microsoft relatou no início deste ano. “É provável que este seja um fator-chave para obter acesso inicial, já que o phishing representa um dos maiores vetores iniciais de infecção para atores de ameaças atualmente”, diz Milam.
Popularidade crescente
A Digital Shadows, que rastreia IABs desde 2016, no início deste ano relatou um aumento no uso de IABs entre cibercriminosos. A empresa atribuiu a crescente popularidade ao aumento acentuado de redes de acesso remoto relativamente fracamente protegidas e redes privadas virtuais desde que a pandemia de COVID-19 forçou uma mudança para um ambiente de trabalho mais distribuído.
A Digital Shadows descobriu que os IABs ofereciam com mais frequência sistemas e VPNs comprometidos de Remote Desktop Protocol (RDP) como pontos de acesso iniciais para seus clientes. No terceiro trimestre de 2021, o preço médio que os IABs cobravam pelo acesso a uma VPN comprometida era de US$1.869 — acima dos US$1.446 anteriormente. Para sistemas RDP, o preço médio foi de US$ 1.902. Os IABs mais frequentemente forneciam acesso a redes pertencentes a organizações nos setores de varejo, tecnologia e bens e serviços industriais.
“Os corretores de acesso inicial se tornaram um pilar da atividade cibercriminosa, e isso coincidiu com a tendência do cibercrime global se tornar mais simplificado e eficiente”, diz Chris Morgan, analista de inteligência contra ameaças da Digital Shadows. Ele prevê que os níveis do IAB observados no terceiro trimestre deste ano provavelmente continuarão ou aumentarão para o quarto trimestre e para 2022.
Morgan diz que o tipo de atores de ameaças que compram listagens de IAB são diversos, mas os maiores usuários são grupos de ransomware. “A maioria das listagens do IAB provavelmente só fornecerá acesso a um subconjunto de sistemas e servidores” em uma rede de vítimas, diz ele. No entanto, os compradores quase sempre terão um ponto de acesso consistente e estável na rede do alvo, no qual o ator poderá estabelecer persistência e se mover lateralmente.
“A listagem será altamente dependente de vários fatores, que incluem o projeto arquitetônico da empresa-alvo e os princípios de segurança em uso — incluindo segmentação de rede e gerenciamento de acesso”, observa Morgan.
Os preços que os IABs cobram são influenciados por vários fatores, incluindo o tamanho de uma organização e o tipo de informação que pode ser acessada a partir de sua rede. Em alguns casos, os preços estão vinculados à receita anual de uma empresa — quanto maior a receita, maior o custo inicial de acesso.
“Para VPN e RDP”, diz Morgan, “o IAB normalmente venderá um emparelhamento de credenciais de um nome de usuário e senha, juntamente com uma porta IP específica”.
FONTE: DARK READING