Los listados en línea para los corredores de acceso inicial (IAB) han aumentado por segundo trimestre consecutivo, a pesar de que varios foros de delitos cibernéticos prohíben cualquier contenido relacionado con el comercio de ransomware, dice la firma de inteligencia de amenazas Digital Shadows.
A raíz del ataque de ransomware de DarkSide a Colonial Pipeline en mayo de 2021, que interrumpió gravemente el suministro de energía y combustible de EE. UU., Varios foros de delitos cibernéticos, incluidos XSS, Exploit y RaidForums, decidieron prohibir las listas y las discusiones de servicios de ransomware con el fin de evitar atención no deseada por parte de periodistas y organismos encargados de hacer cumplir la ley.
Pero a pesar de la prohibición del contenido de ransomware, Digital Shadows ha recopilado más de 250 nuevas listas de IAB, un aumento de las 200 que identificó en el primer trimestre.
“Este desarrollo en el panorama del ransomware no interrumpió por completo las operaciones de las IAB”, escribió el Equipo de Investigación de Fotones de Digital Shadows en una publicación de blog. “De hecho, teóricamente hablando, los accesos vendidos por IAB podrían usarse para una amplia gama de propósitos maliciosos (piense en borrar datos, instalar mineros criptográficos, implementar software espía) y rara vez mencionan específicamente el ransomware.
“Sin embargo, como todos sabemos, el ransomware es claramente una de las empresas delictivas más rentables que puede configurar con esos accesos y, sin duda, es el uso más común para los actores de amenazas.
“En consecuencia, los IAB siguieron haciendo su trabajo sin ser molestados la mayor parte del tiempo. Hemos observado que algunos IAB se trasladan a otros foros de ciberdelincuentes y otros han trasladado su infraestructura empresarial a canales de mensajería privados. Además, hemos observado que los grupos de ransomware evitan mencionar abiertamente el propósito de su programa delictivo e intentan reclutar para IAB con una redacción cuidadosa para evitar ser prohibidos “.
Una nueva banda de ransomware, conocida como BlackMatter, que se fundó en julio de 2021 y probablemente se separó de la operación DarkSide, fue descubierta recientemente por analistas de Recorded Future debido a los anuncios que había publicado en Exploit y XSS.
BlackMatter eludió las prohibiciones de ransomware del foro, en línea con la evaluación de Digital Shadows, redactándolas cuidadosamente para excluir la mención de cualquier operación real de ransomware. En cambio, la publicación fue para la contratación de IAB que podrían ayudarlo a acceder a objetivos corporativos de alto valor.
En marzo de 2021, Digital Shadows publicó una investigación separada que analizó más de 500 listados de acceso publicados en línea a lo largo de 2020, lo que significa que se han identificado más listados en la primera mitad de 2021 que en todo el año pasado.
Entre el primer y segundo trimestre de 2021, el precio del acceso también aumentó, de un promedio de $ 1,923 por acceso a un promedio de $ 2,578.
Sin embargo, en 2020 el precio promedio por acceso fue de $ 7,100, que Digital Shadows atribuyó al hecho de que, con significativamente menos listados en 2020, había menos competencia entre corredores y, por lo tanto, los precios eran más altos.
En términos de los objetivos de los listados, el 70% del total de listados observados en el segundo trimestre de 2021 estaban dirigidos a organizaciones en América del Norte (principalmente los EE. UU.) Y Europa. El país más objetivo de Europa fue Francia, seguido de cerca por el Reino Unido, Italia y Alemania.
“Las empresas con sede en América del Norte también fueron las más gratificantes financieramente para los IAB, con un costo promedio de $ 3,114 por acceso”, dijo el blog. “Las organizaciones asiáticas pronto le siguieron con un promedio de $ 2.824, junto con Oriente Medio ($ 2.523) y Europa ($ 2.044). Por otro lado, los listados eran particularmente baratos en Australasia ($ 600) y Sudamérica ($ 474) “.
En un cambio desde el primer trimestre, cuando la industria de la energía, el petróleo y el gas representaba el precio promedio más alto por acceso, los servicios financieros y las verticales minoristas son ahora los listados de IAB más costosos con $ 5,518 y $ 4,404, respectivamente.
Al observar los puntos de acceso reales que se anuncian, Digital Shadows descubrió que las herramientas de trabajo remoto, como la red privada virtual (VPN) y el protocolo de escritorio remoto (RDP), tenían el mayor riesgo de verse comprometidas y explotadas por los actores de amenazas, con esas dos herramientas haciendo más de dos tercios del total de accesos son anunciados por IAB.
“Desde que comenzamos a realizar investigaciones sobre IAB, los PDR han sido fundamentales en nuestro análisis”, dice el blog. “Los ciberdelincuentes pueden escanear fácilmente Internet para encontrar RDP expuestos con credenciales débiles para aprovechar sus operaciones maliciosas. El mismo mecanismo se puede aplicar a VPN, una utilidad que se ha vuelto cada vez más popular desde el brote de la pandemia en los primeros meses de 2020 “.
En términos de estrategias de mitigación, Digital Shadows sugirió que monitorear la evolución de los IAB y sus técnicas preferidas a lo largo del tiempo puede “ayudar significativamente a los profesionales de seguridad a priorizar sus esfuerzos para reducir su superficie de ataque y exposición digital”.
Agregó: “Tener un equipo de inteligencia de amenazas cibernéticas interno o subcontratado que monitorea la web superficial, profunda y oscura puede ser de gran ayuda para identificar listados relevantes y observar tendencias de acceso. Si se les proporciona inteligencia oportuna, relevante y procesable, los defensores pueden priorizar los esfuerzos de seguridad hacia las amenazas más importantes “.