Un'analisi dei broker di accesso iniziale spiega come entrano nelle organizzazioni vulnerabili e vendono il loro accesso per un massimo di 10,000 dollari.
Gli operatori di ransomware che cercano vittime possono trovarle sul Dark Web, dove i broker di accesso iniziale pubblicano elenchi contenenti descrizioni vaghe delle aziende che sono riusciti a violare.
I broker di accesso iniziale, gli “intermediari” degli attacchi ransomware, hanno notato un aumento della domanda per i loro servizi man mano che il ransomware-as-a-service (RaaS) guadagna popolarità. Secondo i ricercatori di Digital Shadows che oggi hanno pubblicato un'analisi di questi autori di minacce, i loro elenchi sono aumentati costantemente negli ultimi due anni, con un picco significativo negli ultimi sei mesi.
Il compito di un broker di accesso iniziale è gestire i requisiti iniziali di un attacco e semplificare il processo in modo che gli operatori RaaS possano lanciare un’infezione con successo. La crescente dipendenza da RaaS ha creato un mercato per la fioritura dei broker di accesso iniziale, spiega Alec Alvarado, responsabile del team di intelligence sulle minacce.
"Vi è molta pressione sugli affiliati di ransomware affinché forniscano agli sviluppatori di ransomware vittime per generare flusso di cassa", afferma. "Se un affiliato non soddisfa le esigenze dello sviluppatore, verrà espulso dal programma di affiliazione, perdendo denaro."
Il processo inizia con l’identificazione degli obiettivi vulnerabili, cosa che i broker spesso fanno indiscriminatamente con strumenti di scansione delle porte open source come Shodan o Masscan. Potrebbero anche utilizzare strumenti di scansione delle vulnerabilità per cercare il loro gateway in un'organizzazione presa di mira, aggiunge Alvarado.
Nella maggior parte dei casi, gli aggressori identificano le vittime che hanno il Remote Desktop Protocol (RDP) esposto su Internet. I ricercatori hanno anche osservato l’accesso ai gateway Citrix e agli accessi ai controller di dominio negli elenchi di accesso iniziali sul Dark Web. L'accesso a Citrix può essere ottenuto forzando brutalmente il gateway Citrix per fornire accesso remoto o sfruttare vulnerabilità note nei prodotti Citrix.
Una volta trovato il loro punto d’appoggio iniziale, i broker di accesso iniziale esplorano attentamente la rete. Potrebbero tentare di aumentare i privilegi o spostarsi lateralmente per vedere a quanti dati possono accedere. Una volta completato questo, organizzano le loro informazioni di accesso, le impacchettano in un prodotto presentabile e calcolano quanti soldi possono guadagnare loro nel crimine clandestino.
Questi elenchi possono essere trovati in tutti i forum criminali, come i forum in lingua russa XSS ed Exploit, afferma Alvarado. Alcuni forum hanno iniziato a creare sezioni dedicate per gli elenchi di accesso.
Il prezzo di ogni inserzione può variare da $ 500 a $ 10,000 USD, relazione dei ricercatori, a seconda del livello di accesso ottenuto e dell'organizzazione compromessa. L’accesso alle grandi imprese con ricavi più elevati determinerà il prezzo di accesso. Maggiore è il reddito, maggiore è la richiesta di riscatto.
"Gli accessi notevolmente organizzati e personalizzati che richiedono uno sforzo minimo per completare un attacco comportano in genere un costo più elevato poiché la maggior parte del lavoro è stata completata a quel punto", spiega Alvarado. "Inoltre, se l'accesso comprende un'ampia porzione della rete con più host, ciò aumenterà i costi di accesso."
Gli acquirenti dell'accesso iniziale possono fare molto di più che lanciare un attacco ransomware. Possono anche condurre spionaggio aziendale, spostarsi lateralmente, aumentare i privilegi o rimanere nella rete a lungo termine per trarre vantaggio dalle tecniche di vita fuori terra.
Quante informazioni sono troppe?
I broker devono trovare un delicato equilibrio nello scrivere un elenco di accesso. Potrebbero dettagliare il valore del loro accesso per attirare più attenzione e aumentare il prezzo; tuttavia, ulteriori informazioni potrebbero fornire informazioni ai ricercatori di sicurezza, che possono identificare la vittima e rimuovere l'accesso prima che venga sfruttato.
Alcuni broker vanno sul sicuro limitando la descrizione a dati vaghi trovati su Zoominfo, un sito con informazioni aziendali come entrate aziendali e numero di dipendenti. Ciò indica ai potenziali acquirenti quanto potrebbe essere redditizio un attacco senza condividere troppe informazioni. I broker hanno anche incluso parti del simbolo del titolo azionario di una società o del paese in cui opera.
La natura subdola della loro attività e la mancanza di dettagli negli elenchi rendono difficile individuare un broker di accesso iniziale. I segnali di allarme possono includere prove di tentativi di forza bruta contro server RDP, tentativi multipli di autenticazione falliti o prove di tentativi di escalation di privilegi o movimenti laterali, afferma Alvarado. Nel complesso, questi broker possono operare senza troppi rischi perché non lanciano la campagna finale ed è probabile che ottengano un pagamento.
"Non sferrano attacchi e sono più passivi", osserva. "Dal punto di vista del rapporto rischio-rendimento, la ricompensa è probabile e il rischio è basso."
Kelly Sheridan è Staff Editor presso Dark Reading, dove si concentra su notizie e analisi sulla sicurezza informatica. È una giornalista di tecnologia aziendale che in precedenza ha riferito per InformationWeek, dove ha coperto Microsoft, e Insurance & Technology, dove ha coperto ... Visualizza la biografia completa
Letture consigliate:
Ulteriori intuizioni
