Trend Micro Incorporated ha publicado una investigación centrada en la cadena de suministro de la ciberdelincuencia que está detrás de gran parte del reciente aumento de los ataques de ransomware.
La demanda ha aumentado tanto en los últimos dos años que muchos mercados de ciberdelincuentes tienen ahora sus propias secciones de as a service. El sector de la educación fue el más frecuente, con un 36% de los anuncios.
«La atención de los medios de comunicación y de la ciberseguridad corporativa se ha centrado únicamente en la carga útil del ransomware, cuando debemos concentrarnos primero en mitigar la actividad de los intermediarios de acceso inicial», afirma David Sancho, investigador senior de amenazas de Trend Micro.
Ciberdelincuencia y Ransomware
El informe revela tres tipos principales de brokers de acceso:
- Vendedores oportunistas que se centran en obtener beneficios rápidos y no dedican todo su tiempo al acceso.
- Brokers dedicados, son hackers sofisticados y capacitados que ofrecen acceso a una variedad de empresas diferentes. Sus servicios suelen ser utilizados por grupos y afiliados de ransomware más pequeños.
- Tiendas online que ofrecen credenciales RDP y VPN. Estas tiendas dedicadas solo garantizan el acceso a una sola máquina en lugar de a toda una red u organización. Sin embargo, representan una forma simple y automatizada para que los ciberdelincuentes con habilidades más bajas adquieran acceso. Incluso pueden buscar por ubicación, ISP, sistema operativo, número de puerto, derechos de administrador o nombre de la empresa.
La mayoría de las ofertas de los corredores de acceso implican un conjunto simple de credenciales que pueden provenir de: brechas anteriores y ruptura de hash de contraseñas; computadoras bot comprometidas; explotación de vulnerabilidades en pasarelas VPN, servidores web, etc.; o ataques oportunistas puntuales.
El floreciente mercado de ciberdelincuencia as a service impulsa los ataques de ransomware
Los precios varían según el tipo de acceso (una sola máquina o toda la red/corporación), los ingresos anuales de la empresa y la cantidad de trabajo adicional que debe realizar el comprador.
Aunque el acceso RDP se puede obtener por tan solo 10 dólares, el precio promedio de las credenciales de administrador en una empresa es de alrededor de 8.500 dólares. Sin embargo, los precios pueden llegar hasta los 100.000 dólares.
Estrategias recomendadas
Trend Micro recomienda las siguientes estrategias para los defensores:
- Monitorizar las brechas públicas
- Activar un restablecimiento de contraseña para todos los usuarios si sospecha que se pueden violar las credenciales corporativas
• Configurar la autenticación multifactor (MFA)
• Supervisar el comportamiento del usuario
• Observe la DMZ y asuma que los servicios de Internet como VPN, webmail y servidores web están bajo ataque constante.
• Implementar segmentación y microsegmentación de la red
• Desplegar de buenas prácticas políticas de contraseñas
• Implementar alguna forma de arquitectura Zero Trust