0
0
Nomes como Novelli, orangecake, Pirat-Networks, SubComandanteVPN e zirochka provavelmente não significarão nada para a grande maioria das equipes de segurança corporativa. Mas para operadores de ransomware e outros cibercriminosos que buscam acesso rápido a redes corporativas, esses foram os corretores a serem abordados na maior parte do ano passado.
Entre elas, as cinco entidades representaram cerca de 25% de todas as ofertas de acesso a redes empresariais que estiveram à venda em fóruns clandestinos entre o segundo semestre de 2021 e o primeiro semestre de 2022. Por um preço médio em torno de US$ 2.800, esses so- chamados de corretores de acesso inicial (IABs) vendiam detalhes de contas roubadas de VPN e protocolo de área de trabalho remota (RDP) e outras credenciais que os criminosos poderiam usar para invadir as redes de mais de 2.300 organizações em todo o mundo, sem suar a camisa.
Um mercado vasto e crescente
As cinco operadoras eram líderes em um mercado muito maior e em rápido crescimento de centenas de outros IABs semelhantes que a empresa de segurança Group-IB descobriu ao realizar pesquisas para seu 11º relatório anual sobre crimes de alta tecnologia , divulgado esta semana.
A pesquisa da empresa mostrou um crescimento acentuado ano a ano no número de IABs operando em fóruns e mercados clandestinos – de 262 no período de 12 meses imediatamente anterior para 380 no período entre o segundo semestre de 2021 e o primeiro semestre de 2022. Cerca de 327 dos IABs que o Grupo-IB observou em funcionamento nesse período foram novas entradas no espaço.
Os pesquisadores do Group-IB também descobriram um aumento de 41% no número de países aos quais as entidades comprometidas pertenciam – de 68 um ano antes para 96 durante o período de seu estudo. Quase um quarto — 24% — de todas as ofertas iniciais de acesso envolvia redes de organizações sediadas nos Estados Unidos. Outros países com um número relativamente alto de vítimas incluem Brasil, Canadá, França e Reino Unido.
“À medida que as vendas de acesso continuam crescendo e se diversificando, os IABs são uma das principais ameaças a serem observadas em 2023”, alertou Dmitry Volkov, CEO do Group-IB, em comunicado que acompanha o novo relatório.
“Os corretores de acesso inicial desempenham o papel de produtores de petróleo para toda a economia subterrânea”, observou ele. “Eles alimentam e facilitam as operações de outros criminosos, como ransomware e adversários do estado-nação”.
“Serralheiros Oportunistas do Mundo da Segurança”
A proposta de valor dos IABs na economia do cibercrime é que eles oferecem a outros cibercriminosos uma maneira de obter uma posição fácil em uma rede-alvo sem que eles tenham que fazer qualquer trabalho braçal antecipadamente. Os IABs fazem o trabalho técnico de invadir uma rede e roubar credenciais — como as associadas a VPNs, serviços RDP, Active Directory e painéis de gerenciamento remoto — que fornecem acesso subsequente a ela. Freqüentemente, eles podem lançar shells da Web em uma rede comprometida para garantir acesso futuro persistente a ela e, em seguida, vender os shells da Web. Em um relatório do ano passado, pesquisadores do Grupo de Análise de Ameaças do Google descreveram os IABs como os ” chaveiros oportunistas do mundo da segurança ” que se especializam em violar um alvo e oferecer acesso a ele pelo lance mais alto.
Alimentando a economia do ransomware
Os IABs oferecem seus produtos a qualquer um que queira comprá-los, e o mercado para seus serviços cresceu rapidamente nos últimos dois anos. Mas seus maiores clientes ultimamente têm sido operadores de ransomware.
Um novo estudo da empresa de inteligência de ameaças KELA mostrou que vários dos principais ataques de ransomware envolvendo grupos como Hive, Sodinokibi, BlackByte e Quantum começaram com acesso à rede de um IAB. Em um caso, membros do grupo de ransomware Conti se juntaram a um IAB para atingir organizações na Ucrânia.
“O incidente mais notável foi relacionado ao ataque ao Medibank, um provedor de seguros australiano, que foi atacado depois que o acesso à rede da empresa foi vendido em um canal privado do Telegram”, disse KELA.
Os pesquisadores do Group-IB descobriram que 70% dos tipos de acesso oferecidos pelos IABs eram detalhes de contas RDP e VPN. Muitas das ofertas — 47% — envolviam acesso com direitos de administrador na rede comprometida. Vinte e oito por cento dos anúncios nos quais os direitos foram especificados envolviam direitos de administração de domínio, 23% tinham direitos de uso padrão e uma pequena fração fornecia acesso à conta root.
Os pesquisadores do Group-IB também encontraram anúncios do IAB para acesso a ambientes Citrix, vários painéis da Web para CMS e servidores em nuvem e shells da Web em sistemas comprometidos. Em alguns casos, os IABs até se ofereceram para lançar cargas úteis de movimento lateral, como Cobalt Strike Beacon ou sessões Metasploit em nome do comprador. Mas as ofertas para essas credenciais e serviços tendem a ser menos comuns do que as que envolvem credenciais RDP e VPN.
As organizações para as quais as ofertas de acesso estavam mais comumente disponíveis em fóruns e mercados clandestinos incluíam empresas de manufatura, empresas de serviços financeiros, organizações imobiliárias, educação e empresas de tecnologia da informação.
O Group-IB descobriu que o aumento acentuado no número de entidades que operam no espaço IAB durante o período de seu estudo reduziu os preços para a maioria das categorias de acesso inicial.
O preço médio de US$ 2.800 que a empresa observou foi, na verdade, menos da metade dos US$ 6.500 que os IABs costumavam cobrar em média pelo mesmo acesso um ano antes.
FONTE: DARK READING