Agentes de acceso inicial: ¿Cómo se relacionan los IAB con el aumento de los ataques de ransomware?

Los agentes de acceso inicial son ciberdelincuentes que se especializan en violar empresas y luego vender el acceso a atacantes de ransomware. Aprenda a proteger su empresa de las IAB.

Imagen: djedzura / iStock

Los ataques de ransomware se han incrementado seriamente en los últimos dos años, dirigidos a todas las verticales del mundo empresarial. Puede suponer que estos ciberdelincuentes son muy hábiles, ya que pueden comprometer a muchas empresas; ¿Qué pasaría si les dijera que tal vez no son tan hábiles como podría pensar, y que muchos de estos grupos simplemente compran el acceso a las empresas de otros ciberdelincuentes? Bienvenido al mundo de los corredores de acceso inicial.

¿Qué son los corredores de acceso inicial?

Los corredores de acceso inicial venden el acceso a las redes corporativas a cualquier persona que desee comprarlo. Inicialmente, los IAB vendían el acceso de la empresa a los ciberdelincuentes con varios intereses: afianzarse en una empresa para robar su propiedad intelectual o secretos corporativos (ciberespionaje), encontrar datos contables que permitieran el fraude financiero o incluso solo números de tarjetas de crédito, agregar máquinas corporativas a algunas redes de bots. , usar el acceso para enviar spam, destruir datos, etc. Hay muchos casos en los que comprar acceso a una empresa puede ser interesante para un estafador, pero eso fue antes de la era del ransomware.

VER: Estrategia de ciberseguridad 2021: tácticas, desafíos y preocupaciones de la cadena de suministro (TechRepublic Premium)

Al ver la mediatización masiva de los casos de ransomware, algunos ciberdelincuentes decidieron intentarlo e intentar por sí mismos ganar dinero fácil de esta manera; bueno, no tan fácil, ya que se requieren habilidades técnicas para comprometer a una empresa y afianzarse en su red. Aquí es donde entran en juego los IAB.

Los grupos de ransomware vieron una oportunidad aquí para dejar repentinamente de dedicar tiempo al compromiso inicial de las empresas y centrarse en la implementación interna de su ransomware y, a veces, en el borrado completo de los datos de respaldo de las empresas. El costo de acceso es insignificante en comparación con el rescate que se exige a las víctimas.

Las actividades de la IAB se hicieron cada vez más populares en los foros y mercados clandestinos de ciberdelincuentes. Para vender el acceso en estos marketplaces, los brokers siempre se anuncian utilizando el mismo tipo de información: la industria a la que pertenece la empresa, su número de empleados, sus ingresos, el tipo de acceso y el precio del mismo (Figura A).

Figura A

Un ejemplo de un anuncio de IAB.

Imagen: Blueliv

El precio por acceder a una red corporativa varía aproximadamente entre $ 1,000 y $ 10,000. Los IAB también generalmente brindan acceso exclusivamente a un cliente, pero no es tan raro que los corredores con baja reputación vendan el mismo acceso a varios clientes diferentes al mismo tiempo antes de desaparecer.

¿Qué tipo de acceso venden los IAB?

Credenciales de Active Directory

El acceso más valioso que puede vender un IAB es un acceso de administrador de dominio, con la capacidad de acceder al Active Directory de la empresa. Ese tipo de acceso reduce drásticamente la cantidad de trabajo para cualquier grupo de ransomware, porque pueden usarlo inmediatamente para distribuir malware por toda la red.

Acceso a paneles

Los IAB pueden vender el acceso a diferentes paneles de control a los que se puede acceder desde Internet. Dichos paneles generalmente brindan acceso a contenido de alojamiento web, que a menudo incluye soluciones de pago y, por lo tanto, detalles de tarjetas de crédito. El más popular de estos paneles es cPanel.

Acceso al shell web

Un shell web es una pequeña pieza de software que se encuentra silenciosamente en la arquitectura de un servidor web. Por lo general, está oculto en una carpeta, y solo el atacante que comprometió el servidor web y colocó el shell web allí sabe cómo acceder a él. Además, algunos shells web pueden tener su acceso protegido por una contraseña establecida por el atacante. Algunos IAB configuran shells web en servidores web comprometidos y venden el acceso a ellos.

Acceso RDP

El acceso más común que se vende en foros clandestinos es el acceso al Protocolo de escritorio remoto. Este protocolo es muy popular entre las empresas, especialmente para los trabajadores remotos que pueden acceder a los recursos corporativos de esta manera. Todo lo que necesita es un nombre de usuario y una contraseña, y es bastante fácil para un atacante realizar escaneos masivos de servidores RDP en Internet e intentar usar la fuerza bruta.

Acceso VPN

Cada vez más empresas han implementado redes privadas virtuales para permitir que sus empleados remotos se conecten a la red corporativa y trabajen de manera eficiente. Al igual que con RDP, si no hay autenticación de dos factores, solo se necesita un inicio de sesión y una contraseña para acceder a la red corporativa.

Acceso a máquinas virtuales

Los IAB venden cada vez más acceso de root a servidores VMware ESXi a bandas de ransomware. El ransomware DarkSide, por ejemplo, contiene código que se dirige específicamente a esos sistemas.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (TechRepublic)

Acceso RMM

Remote Monitoring and Management es un software diseñado para ayudar a los profesionales de TI a administrar redes. Ofrecen permisos elevados en varias máquinas de la red, lo que los convierte en datos interesantes para que los IAB los vendan.

¿Cómo puedo proteger nuestro negocio de los IAB?

¿Cómo puede una empresa proteger los activos que están en riesgo de los corredores de acceso inicial? Siga estas recomendaciones para reducir el riesgo.

Acceso VPN / RDP / RMM / paneles de control

Utilice únicamente puertas de enlace RDP y VPN que admitan 2FA. También use solo paneles de control que permitan 2FA. Si bien todavía es posible piratearlos, es complicado vender dicho acceso, ya que necesita trabajo manual para cada acceso. Un ciberdelincuente que quiera acceder a una empresa ciertamente no usará esa solución e intentará obtener otra. Habilite la autenticación de nivel de red para el acceso RDP. Tenga una política de administración de contraseñas fuerte para evitar la fuerza bruta de contraseñas fáciles. Si es posible, no lo haga «. t permitir conexiones remotas para cuentas privilegiadas. Bloquear automáticamente a los usuarios con más de tres o cinco intentos de inicio de sesión fallidos e investigarlos. Algunos paneles tienen complementos de seguridad. Siempre debe estar activado y utilizado.

Conchas web

Supervise el contenido web de sus servidores web. Compruebe si hay algún archivo nuevo que aparezca en una carpeta a la que los invitados y los usuarios no deberían acceder. Además, en caso de que un atacante reemplace un archivo por un shell web, verifique cualquier cambio de hash de cualquiera de estos archivos que no resulte de una actualización.

Monitorear foros clandestinos

Algunas empresas supervisan la Dark Web y, en gran medida, múltiples foros y mercados de ciberdelincuentes. Suscríbase a los que recibirán alertas cada vez que los ciberdelincuentes mencionen a la empresa, en particular los IAB. De esa manera, si desafortunadamente, la red ya está comprometida, tal vez el impacto aún pueda ser limitado reaccionando rápidamente a la amenaza.

No olvide las buenas prácticas generales de seguridad

Mantenga sus sistemas y software siempre actualizados e implemente siempre los parches lo antes posible. Esto podría evitar un compromiso inicial a través de una nueva vulnerabilidad. Ejecute auditorías de seguridad completas en su red y computadoras, y corrija todo lo que necesite ser cambiado o actualizado. Utilice Sistemas de Prevención de Intrusiones / Sistemas de Detección de Intrusiones (IPS / IDS).

Divulgar: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

Ver también