This post is also available in: Português
Operadores de ransomware agora terceirizam a exploração de acesso à rede das vítimas – tudo para atacar mais rápido.
Quando cibercriminosos decidem fazer invasões usando Ransomwares, devem primeiro encontrar pontos de entrada na rede da vítima. Entram nessa lista de possibilidades contas de funcionários comprometidas, configurações incorretas em sistemas e endpoints vulneráveis. Tudo isso pode ser explorado para ser a porta de entrada do Ransomware.
O problema é que pode dar bastante trabalho, e levar muito tempo. E onde há problema, existe alguém vendendo uma solução. E é exatamente isso o que vem acontecendo em mercados clandestinos da internet: crackers passaram a vender acessos a redes de empresas. Assim, as equipes que operam os ransomwares podem agir mais rapidamente.
Antes da possibilidade de terceirização, seria como tentar invadir uma casa sem saber como abrir as portas ou janelas. Agora, as chaves estão à venda. Basta comprá-las e pronto: o caminho está livre. Mas eis a questão: não é o dono que está vendendo as chaves, mas sim alguém que roubou dele.
Esquema lucrativo
Há poucos dias, a equipe de Cyber Threat Intelligence (CTI) da Accenture lançou uma nova pesquisa sobre tendências de segurança cibernética, incluindo uma investigação sobre as relações entre operadores de ransomware e vendedores de exploits.
De acordo com os analistas de segurança Thomas Willkan e Paul Mansfield, a compra de pontos de acesso de rede já comprometidos está ganhando popularidade, incluindo a aquisição de credenciais roubadas e demais vulnerabilidades.
Essa possibilidade de terceirização mostra que o ransomware ainda rende boas cifras aos crackers. Afinal, pagar um resgate pode chegar a somas de seis dígitos ou mais, dependendo do alvo e de seu valor estimado. Por isso, os crackers estão tentando pular o estágio de acesso inicial de um ataque, acelerando o processo – e a oportunidade de ganhos ilícitos.
Os vendedores de acesso à rede normalmente desenvolvem uma vulnerabilidade inicial e, em seguida, vendem seu trabalho em fóruns clandestinos por algo entre US$ 300 e US$ 10.000.
A maioria das ofertas de acesso à rede no submundo leva em consideração o alvo e o tipo de acesso, variando de Citrix a Remote Desktop Protocol (RDP), podendo anunciar também o número de máquinas detectadas na rede.
“Desde o início de 2020, equipes de ransomware utilizam com sucesso plataformas da dark web para terceirizar processos trabalhosos ligados ao comprometimento de rede”, dizem os pesquisadores. “Um ataque bem-sucedido depende do desenvolvimento e manutenção de um acesso de rede estável, que vem com um risco maior de detecção e requer tempo e esforço. Os vendedores desses acessos preenchem esse nicho de mercado para os invasores”.
Somente em setembro deste ano, eles rastrearam 25 vendedores do tipo, e perceberam que a cada semana o número aumenta. Muitos são ativos nos mesmos fóruns clandestinos onde estão grupos famosos de ransomware, como Maze, NetWalker, Sodinokibi, Lockbit e Avaddon – que já foram responsáveis por centenas de ataques de grandes proporções.
Estratégias
Os vendedores agora começaram a divulgar suas ofertas em tópicos únicos nos fóruns, ao invés de postagens separadas – com destaque para a modalidade RDP. Outra tática é, ao invés de fornecer uma vulnerabilidade de dia zero para um vendedor, alguns estão usando bugs não corrigidos para explorar várias redes corporativas ao mesmo tempo, vendendo o acesso a agentes de ameaças em pacotes separados – tudo para gerar receita adicional.
Clientes Citrix e Pulse Secure VPN também estão sendo mencionados em anúncios, o que mostra um horizonte maior de trabalho dos criminosos envolvidos.
A pandemia facilitou essa expansão. Os vendedores de acesso à rede estão tirando proveito das ferramentas de trabalho remoto, à medida que mais funcionários começaram a atuar em casa devido à quarentena. Afinal, em milhares de empresas, a segurança digital do escritório não é a mesma das residências de seus colaboradores. Enquanto isso, os cibercriminosos se organizam a ponto de surgirem cadeias logísticas bastante eficientes – tornando a possibilidade de ser uma vítima cada vez mais real, caso não haja investimento em segurança digital.
This post is also available in: Português