Los grupos de ransomware se apoyan en agentes de acceso inicial en sus ataques
- Endpoint
Estos actores, que venden acceso remoto a las redes corporativas, a menudo comercializan con operadores de ransomware. Durante el segundo trimestre, unos 110 agentes se dedicaron a vender accesos a la red, y cada uno de los tres principales agentes puso a la venta más de 40 accesos.
Los operadores de ransomware y de sitios de fuga de datos utilizan constantemente el creciente ecosistema de la ciberdelincuencia para facilitar las fases de reconocimiento y compromiso inicial, apoyándose constantemente en otros ciberdelincuentes, incluidos los agentes de acceso inicial o Initial Access Brokers (IAB ), que venden acceso remoto a las redes corporativas.
En el segundo trimestre de 2022, KELA, cuyas soluciones se distribuyen en la Península Ibérica a través de Ingecom, identificó alrededor de 650 víctimas. En comparación con el último trimestre, la actividad disminuyó un 7% y siguió disminuyendo de mes en mes. De media, KELA observó 216 ataques cada mes del segundo trimestre, en comparación con las 232 víctimas del primer trimestre. Sin embargo, esto no nos debe hacer bajar la guardia, ya que los ciberatacantes no han dejado de actuar.
Durante el segundo trimestre, unos 110 agentes se dedicaron a vender accesos a la red, hasta tal punto que cada uno de los tres principales agentes de acceso inicial puso a la venta más de 40 accesos. KELA rastreó más de 550 listados de accesos a la red en venta, con un precio acumulado solicitado para todos los accesos de unos 660.000 dólares. Por otro lado, se ha visto como el período de tiempo entre la venta del acceso a la red y la aparición de la víctima fruto del ransomware suele ser un proceso que dura alrededor de un mes en muchos casos.
Pero el papel de los IAB parece no quedarse ahí. Muchos de ellos están dispuestos no solo a servir a la cadena de suministro del ransomware, sino también a participar en los ataques. En este sentido, se ha comprobado como un actor de este tipo ha sido capaz de evolucionar hasta convertirse en un operador de ransomware.
El sector de la fabricación y los productos industriales fue el más atacado por los IAB, seguido de los servicios profesionales e ingeniería y construcción. En un segundo plano aparecen nuevos objetivos populares como la sanidad y el sector público y gubernamental, aunque estos últimos son controvertidos para los atacantes debido a temas morales, la baja probabilidad de recibir un rescate o el miedo a provocar una mayor persecución por parte de las fuerzas de seguridad.
Al margen del sector de ataque, KELA apunta que el tipo de acceso más común ofrecido por los agentes fue RDP y VPN. Por lo general, los IAB comprometen las redes corporativas a través de varios medios, siendo uno de ellos la explotación de vulnerabilidades de día cero y conocidas en el software utilizado por las víctimas.
