Ti sei mai chiesto quanto costa l'accesso a una rete compromessa? Un nuovo rapporto rivela che il prezzo iniziale dell'accesso alla rete è triplicato a settembre rispetto ad agosto.
L'accesso alla rete iniziale è ciò che porta gli hacker dannosi all'interno della rete di un'organizzazione. Minaccia gli attori che lo vendono (noti come "broker di accesso iniziale") creare un ponte tra campagne opportunistiche e aggressori mirati. Nella maggior parte dei casi, questi sono operatori di ransomware. I ricercatori KELA sono stati indicizzati con successo 108 elenchi di accesso alla rete condivisi su popolari forum di hacking il mese scorso. Il valore totale del prezzo richiesto era superiore $500,000.
In che modo gli autori delle minacce calcolano il prezzo dell'accesso alla rete?
Durante l'analisi della parte superiore 5 gli accessi più costosi e le TTP dei loro venditori, i ricercatori hanno creato un'ipotesi. Credono che il prezzo dipenda dalle entrate della vittima e dal livello di privilegi che l'accesso alla rete consente. Per esempio, l'accesso dell'amministratore del dominio può essere da 25% a 100% più costoso dell'accesso utente.
Come funziona la vendita dell'accesso alla rete iniziale?
Sviluppando ulteriormente la catena di approvvigionamento, i ricercatori hanno visto che i broker di accesso iniziale ottengono il punto di ingresso pronto per la vendita attraverso tre passaggi:
1. Trovare un vettore di infezione iniziale
Come rivelato dalle conversazioni sui forum sulla criminalità informatica, esistono molteplici possibilità che garantiscono questo accesso. Infezione da botnet, protocolli di accesso remoto come RDP e VNC, e software di accesso remoto, poco conosciuto come VPN, sono tra le migliori scelte.
Trasformare il vettore di infezione iniziale in un compromesso più completo
Basato sul vettore iniziale di compromesso, i tipi di accesso iniziale variano. Il compito più importante ora è ampliare sia l'ambito di accesso che i privilegi acquisiti in modo che siano attraenti per un potenziale acquirente.
“Tla sua attrattiva deriva dall'obiettivo operativo dell'acquirente, poiché attori diversi possono avere esigenze diverse da un potenziale accesso alla rete,"Osserva il rapporto.
Con la maggior parte degli acquirenti si presume che siano operatori o affiliati di ransomware, è importante tenere presente che l'ambito dell'accesso alla rete non deve essere ideale: deve solo essere abbastanza buono. Un'operazione ransomware di successo non deve necessariamente bloccare migliaia di endpoint all'unisono, a volte, bloccare alcuni server chiave ed estrarre dati da molti altri potrebbe essere sufficiente per monetizzare l'accesso.
3. Decidere come viene fornito l'accesso a un acquirente
Secondo KELA, questo passaggio è cruciale come gli altri due: i broker di accesso iniziale dovrebbero creare un canale di ingresso sostenibile per altri criminali informatici.
Come nelle solite relazioni d'affari, alcuni venditori sono flessibili e procedono dalle esigenze dei loro clienti: possono fornire loro l'accesso adatto ai loro obiettivi. Ecco perché alcuni venditori tendono a chiedersi come un acquirente utilizzerà l'accesso e accetterà solo clienti "esperti", osserva il rapporto.
Per farla breve, una volta che tale accesso è negli acquirenti’ mani, può trasformarsi in un punto di ingresso a un'intera rete. Gli aggressori ora sono in grado di eseguire comandi e distribuire malware.
Maggiori dettagli sono disponibili in Analisi approfondita di KELA.