(https://i.postimg.cc/htd6tGdz/Hacker-Red.jpg) (https://postimages.org/)
Un nuevo informe muestra que los piratas informáticos están vendiendo acceso a 576 redes corporativas en todo el mundo por un precio de venta acumulado total de $ 4,000,000, lo que alimenta los ataques a la empresa.
La investigación proviene de la firma israelí de ciberinteligencia KELA, que publicó su informe de ransomware del tercer trimestre de 2022, que refleja una actividad estable en el sector de las ventas de acceso inicial, pero un fuerte aumento en el valor de las ofertas.
Si bien el número de ventas de acceso a la red se mantuvo casi igual que en los dos trimestres anteriores, el precio solicitado acumulado ahora alcanza los $4,000,000.
A modo de comparación, el valor total de las listas de acceso inicial en el segundo trimestre de 2022 fue de $ 660,000, registrando una caída en el valor que coincidió con la pausa del ransomware de verano que perjudicó la demanda.
El camino hacia el ransomware
Los intermediarios de acceso inicial (IAB, por sus siglas en inglés) son piratas informáticos que venden acceso a redes corporativas, generalmente mediante el robo de credenciales, webshells o la explotación de vulnerabilidades en hardware expuesto públicamente.
Después de establecer un punto de apoyo en la red, los actores de amenazas venden este acceso corporativo a otros piratas informáticos que lo usan para robar datos valiosos, implementar ransomware o realizar otras actividades maliciosas.
Las razones por las que los IAB eligen no aprovechar el acceso a la red varían, desde la falta de diversas habilidades de intrusión hasta la preferencia por no arriesgarse a tener más problemas legales.
Los IAB aún juegan un papel crucial en la cadena de infección de ransomware, incluso si quedaron marginados el año pasado cuando las grandes bandas de ransomware que operaban como sindicatos del crimen operaban sus propios departamentos de IAB.
Cifras Q3 '22
En el tercer trimestre de 2022, los analistas de KELA observaron que 110 actores de amenazas publicaron 576 ofertas de acceso inicial por un valor acumulado de $4,000,000.
Volumen mensual de ventas de acceso inicial (KELA)
(https://i.postimg.cc/rsh5Tx6h/sales-volume.png) (https://postimages.org/)
El precio de venta promedio de estos listados fue de $2,800, mientras que el precio de venta medio alcanzó una cifra récord de $1,350.
Precios de venta de acceso inicial (KELA)
(https://i.postimg.cc/G3zFvwBk/prices.png) (https://postimages.org/)
KELA también vio un caso en el que se ofreció la compra de un solo acceso al precio astronómico de $ 3,000,000. Sin embargo, esta lista no se incluyó en las estadísticas y totales del tercer trimestre de 2022 debido a dudas sobre su autenticidad.
Los tres principales IAB operaron un negocio a gran escala, ofreciendo entre 40 y 100 accesos a la venta en el tercer trimestre de 2022.
Según las discusiones del foro de piratería y los eventos de eliminación de la lista del mercado, el tiempo promedio para vender el acceso corporativo fue de solo 1,6 días, mientras que la mayoría eran de tipo RDP y VPN.
El país más objetivo de este trimestre fue Estados Unidos, que representa el 30,4% de todas las ofertas de IAB. Esta estadística está cerca del 39,1 % de los ataques de ransomware en el tercer trimestre dirigidos a empresas estadounidenses.
La mayoría de los países objetivo de los IAB en el tercer trimestre (KELA)
(https://i.postimg.cc/7Y6gVs7j/targeted-countries.png) (https://postimages.org/)
Al observar los sectores objetivo, los servicios profesionales, la manufactura y la tecnología encabezaron la lista con 13,4 %, 10,8 % y 9,4 %, respectivamente. Nuevamente, los ataques de ransomware presentan una clasificación similar, lo que enfatiza la conexión entre los dos.
Sectores a los que más se dirigieron los IAB en el tercer trimestre (KELA)
(https://i.postimg.cc/Hk8bGr62/targeted-sectors.png) (https://postimages.org/)
Dado que los intermediarios de acceso inicial se han convertido en una parte integral de la cadena de ataques de ransomware, es crucial proteger adecuadamente su red contra intrusiones.
Esto incluye colocar servidores de acceso remoto detrás de VPN, restringir el acceso a dispositivos expuestos públicamente, habilitar MFA y realizar capacitación sobre phishing para evitar el robo de credenciales corporativas.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/hackers-selling-access-to-576-corporate-networks-for-4-million/