Los brokers de acceso están detrás del aumento del ransomware

Recomendados:  Empresas data driven: estrategias de datos para marcar la diferencia Evento  Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento

Trend Micro ha publicado una nueva investigación que detalla la cadena de suministro de la ciberdelincuencia que está detrás de gran parte del reciente aumento de los ataques de ransomware. La investigación, que se basa en un análisis de brokers de acceso que venden credenciales empresariales través de múltiples foros de cibercrimen, revela que la demanda ha aumentado tanto que muchos mercados de ciberdelincuentes tienen ahora sus propias secciones de "Acceso-como -servicio".

El informe revela tres tipos principales de brokers de acceso: vendedores oportunistas que se centran en obtener beneficios rápidos y no dedican todo su tiempo al acceso; brokers dedicados, que ofrecen acceso a una variedad de empresas diferentes, y cuyos servicios suelen ser utilizados por grupos y afiliados de ransomware más pequeños; y tiendas online dedicadas, que ofrecen credenciales RDP y VPN, y que garantizan el acceso a una sola máquina en lugar de a toda una red u organización, representando una forma simple y automatizada para que los ciberdelincuentes con habilidades más bajas adquieran acceso.

La mayoría de las ofertas de los corredores de acceso implican un conjunto simple de credenciales que pueden provenir de brechas anteriores y ruptura de hash de contraseñas; computadoras bot comprometidas; explotación de vulnerabilidades en pasarelas VPN, servidores web, etc.; o ataques oportunistas puntuales. Los precios varían según el tipo de acceso (una sola máquina o toda la red/corporación), los ingresos anuales de la empresa y la cantidad de trabajo adicional que debe realizar el comprador. Aunque el acceso RDP se puede obtener por tan solo 10 dólares, el precio medio de las credenciales de administrador en una empresa es de alrededor de 8.500 dólares. Sin embargo, los precios pueden llegar hasta los 100.000 dólares.

En cuanto a los sectores más afectados, el de la educación fue el más frecuente, con un 36% de los anuncios, más del triple que el sector de la fabricación y el de servicios profesionales, que representan ambos un 11%.

"La atención de los medios de comunicación y de la ciberseguridad corporativa se ha centrado únicamente en la carga útil del ransomware, cuando debemos concentrarnos primero en mitigar la actividad de los intermediarios de acceso inicial", afirma David Sancho, investigador senior de amenazas de Trend Micro. "Los encargados de responder a los incidentes a menudo tienen que investigar dos o más cadenas de ataque superpuestas para identificar la causa raíz de un ataque de ransomware, lo que a menudo complica el proceso general de IR. Los equipos podrían adelantarse a este problema vigilando la actividad de los brokers de acceso que roban y venden el acceso a la red de la empresa, cortando esencialmente el suministro para los actores del ransomware”.