¿Alguna vez se preguntó cuánto cuesta el acceso a una red comprometida?? Un nuevo informe revela que el precio inicial de acceso a la red se ha triplicado en septiembre en comparación con agosto.
El acceso inicial a la red es lo que hace que los piratas informáticos malintencionados entren en la red de una organización. Actores de amenazas que lo venden (conocidos como "agentes de acceso inicial") crear un puente entre las campañas oportunistas y los atacantes específicos. En la mayoría de los casos, estos son operadores de ransomware. Investigadores de KELA indexados con éxito 108 listados de acceso a la red compartidos en foros de piratería populares el mes pasado. El valor total del precio demandado estaba por encima $500,000.
¿Cómo calculan los actores de amenazas el precio del acceso a la red??
Mientras analiza la parte superior 5 los accesos más caros y los TTP de sus vendedores, los investigadores crearon una hipótesis. Creen que el precio depende de los ingresos de la víctima y del nivel de privilegios que permite el acceso a la red.. Por ejemplo, el acceso de administrador de dominio puede ser desde 25% a 100% más caro que el acceso de los usuarios.
¿Cómo funciona la venta de acceso a la red inicial??
Desarrollando aún más la cadena de suministro, los investigadores vieron que los corredores de acceso inicial obtienen su punto de entrada listo para la venta a través de tres pasos:
1. Encontrar un vector de infección inicial
Según lo revelado por conversaciones en foros de ciberdelincuencia, existen múltiples posibilidades que otorgan este acceso. Infección por botnet, protocolos de acceso remoto como RDP y VNC, y software de acceso remoto, poco conocido como VPN, están entre las mejores opciones.
Convertir el vector de infección inicial en un compromiso más completo
Basado en el vector inicial de compromiso, los tipos de acceso inicial varían. La tarea más importante ahora es ampliar tanto el alcance del acceso como los privilegios adquiridos para que sean atractivos para un comprador potencial..
“Tsu atractivo se deriva del objetivo operativo del comprador, ya que diferentes actores pueden tener diferentes demandas de un potencial acceso a la red,"El informe señala.
Se supone que la mayoría de los compradores son operadores de ransomware o afiliados, es importante tener en cuenta que el alcance del acceso a la red no tiene que ser ideal: solo necesita ser lo suficientemente bueno. Una operación de ransomware exitosa no necesariamente tiene que bloquear miles de endpoints al unísono perfecto, a veces, bloquear algunos servidores clave y extraer datos de varios otros puede ser suficiente para monetizar el acceso.
3. Decidir cómo se proporciona acceso a un comprador
Según KELA, este paso es tan crucial como los otros dos: Los intermediarios de acceso inicial deben crear un canal de entrada sostenible para otros ciberdelincuentes..
Como en las relaciones comerciales habituales, algunos vendedores son flexibles y proceden de las necesidades de sus clientes: pueden proporcionarles el acceso adecuado para sus objetivos. Es por eso que algunos vendedores tienden a preguntar cómo un comprador utilizará el acceso y aceptará solo clientes "experimentados", señala el informe.
Larga historia corta, una vez que dicho acceso está en los compradores’ manos, puede convertirse en un punto de entrada a toda una red. Los atacantes ahora pueden ejecutar comandos y entregar malware.
Más detalles están disponibles en El análisis exhaustivo de KELA.