Corretores de acesso inicial não afetados por proibições de conteúdo de ransomware

Corretores de acesso inicial não afetados por proibições de conteúdo de ransomware

As listagens online para corretores de acesso inicial (IABs) aumentaram pelo segundo trimestre consecutivo, apesar de uma série de fóruns de crimes cibernéticos banir qualquer conteúdo relacionado ao comércio de ransomware, diz a empresa de inteligência de ameaças Digital Shadows.

No despertar do Ataque de ransomware do DarkSide em Colonial Pipeline em maio de 2021, o que interrompeu gravemente o fornecimento de energia e combustível dos EUA, uma série de fóruns de crimes cibernéticos, incluindo XSS, Exploit e RaidForums, decidiram proibir listagens e discussões de serviços de ransomware para evitar atenção indesejada de jornalistas e da lei agências de fiscalização.

Mas, apesar da proibição de conteúdo de ransomware, a Digital Shadows coletou mais de 250 novas listagens por IABs, um aumento em relação às 200 identificadas no primeiro trimestre.

“Este desenvolvimento no cenário do ransomware não interrompeu totalmente as operações dos IABs”, escreveu a Equipe de Pesquisa de Fótons da Digital Shadows em um postagem do blog. “Na verdade, teoricamente falando, os acessos vendidos por IABs podem ser usados ​​para uma ampla gama de propósitos maliciosos (pense em limpar dados, instalar criptomoedas, implantar spyware) e raramente mencionam especificamente ransomware.

“No entanto, como todos sabemos, o ransomware é claramente uma das empresas criminosas mais lucrativas que você pode criar com esses acessos e é, sem dúvida, o uso mais comum para os agentes de ameaças.

“Conseqüentemente, os IABs continuaram fazendo seu trabalho sem serem perturbados na maior parte do tempo. Observamos alguns IABs mudando para outros fóruns cibercriminosos, e outros mudaram sua infraestrutura de negócios para canais de mensagens privadas. Além disso, observamos grupos de ransomware evitando mencionar abertamente o propósito de seu programa criminoso e tentando recrutar para IABs com uma formulação cuidadosa para evitar serem banidos. ”

Uma nova gangue de ransomware, conhecida como BlackMatter, que foi fundada em julho de 2021 e provavelmente saiu da operação DarkSide, foi recentemente descoberto por analistas da Recorded Future por causa de anúncios postados no Exploit e no XSS.

A BlackMatter contornou as proibições de ransomware do fórum – de acordo com a avaliação do Digital Shadows – redigindo-as cuidadosamente para excluir a menção de quaisquer operações reais de ransomware. Em vez disso, a postagem era para o recrutamento de IABs que poderiam ajudá-lo a acessar alvos corporativos de alto valor.

Em março de 2021, Digital Shadows publicou pesquisa separada que analisou mais de 500 listagens de acesso postadas online ao longo de 2020, o que significa que mais listagens foram identificadas no primeiro semestre de 2021 do que em todo o ano passado.

Entre o primeiro e o segundo trimestre de 2021, o preço do acesso também subiu, de uma média de US $ 1.923 por acesso para uma média de US $ 2.578.

No entanto, em 2020, o preço médio por acesso foi de $ 7.100, o que a Digital Shadows atribuiu ao fato de que, com significativamente menos listagens em 2020, havia menos competição entre corretores e, portanto, os preços eram mais altos.

Em termos de metas de listagens, 70% do total de listagens observadas no segundo trimestre de 2021 foram direcionadas a organizações na América do Norte (principalmente nos EUA) e na Europa. O país mais visado na Europa foi a França, seguido de perto pelo Reino Unido, Itália e Alemanha.

“As empresas sediadas na América do Norte também foram as mais recompensadoras financeiramente para os IABs, com um custo médio de US $ 3.114 por acesso”, disse o blog. “As organizações asiáticas logo seguiram com uma média de $ 2.824, junto com o Oriente Médio ($ 2.523) e a Europa ($ 2.044). Por outro lado, as listagens eram particularmente baratas na Australásia ($ 600) e na América do Sul ($ 474). ”

Em uma mudança desde o primeiro trimestre – quando a indústria de energia, petróleo e gás representou o preço médio por acesso mais alto – os serviços financeiros e verticais de varejo são agora as listagens IAB mais caras em $ 5.518 e $ 4.404, respectivamente.

Olhando para os pontos de acesso reais anunciados, a Digital Shadows descobriu que ferramentas de trabalho remoto, como rede privada virtual (VPN) e protocolo de desktop remoto (RDP), corriam o maior risco de serem comprometidas e exploradas por agentes de ameaças, com essas duas ferramentas tornando mais de dois terços do total de acessos anunciados pelos IABs.

“Desde que começamos a produzir pesquisas sobre IABs, os RDPs têm sido centrais em nossa análise”, disse o blog. “Os cibercriminosos podem facilmente fazer uma varredura na Internet para encontrar RDPs expostos com credenciais fracas para alavancar suas operações maliciosas. O mesmo mecanismo pode ser aplicado à VPN, um utilitário que se tornou cada vez mais popular desde o surto de pandemia nos primeiros meses de 2020 ”.

Em termos de estratégias de mitigação, Digital Shadows sugeriu que monitorar a evolução dos IABs e suas técnicas preferidas ao longo do tempo pode “ajudar significativamente os profissionais de segurança a priorizar seus esforços para reduzir sua superfície de ataque e exposição digital”.

Ele acrescentou: “Ter uma equipe de inteligência de ameaças cibernéticas interna ou terceirizada monitorando a superfície, a web profunda e escura pode ajudar muito na identificação de listagens relevantes e na observação de tendências de acesso. Se forem fornecidos com inteligência oportuna, relevante e acionável, os defensores podem priorizar os esforços de segurança para as ameaças mais significativas. ”

Leave a Reply

Your email address will not be published.