This post is also available in: Português
Esse é o valor a que chega os anúncios somados desse tipo de “produto” em fóruns clandestinos – e representa o triplo do mês anterior.
O grande volume de ataques feitos por cibercriminosos há tempos tornou as informações roubadas em produtos. Possuem locais específicos para compra e venda, bem como especulação de preço e concorrência.
O acesso a redes empresariais faz parte desse conjunto de produtos. São valiosos, e em setembro somaram mais de US$ 500 mil, três vezes mais do que o registrado trinta dias antes.
Em um relatório publicado pela multinacional Kela, a companhia disse que indexou 108 listagens de acesso a redes postadas em fóruns de crackers populares no mês passado, avaliadas coletivamente em um preço total que passou de meio milhão de dólares. Cerca de um quarto das listagens foi vendido a outros agentes de ameaças, que buscam atacar as empresas comprometidas.
Ou seja, o que está sendo vendido são as informações – como logins e senhas – que permitem entrar nas redes de TI de diversas empresas. São cibercriminosos que dedicam tempo a invadir redes corporativas para descobrir como entrar nelas. Depois que conseguem fazer isso, colocam o passo a passo à venda. Quem comprar vai poder entrar na rede da vítima para, entre outras mil possibilidades, instalar ransomwares e pedir resgates – ou então capturar dados valiosos e oferecer à concorrência por centenas, ou milhares, de dólares.
O mercado de “acesso inicial”
Esse tipo de anúncio tem sido postado em fóruns de crackers há anos. Contudo, a maior parte é um nicho no mercado de “acesso inicial”, com a maioria dos grupos de crimes cibernéticos optando por comprar acesso a redes comprometidas. Tais negócios são feitos por meio de mercados criminosos vendendo acessos remotos do tipo RDP, ou de operadores de malware botnet – conhecidos como Malware-as-a-Service.
No entanto, a partir de 2019, um grande número de vulnerabilidades nos principais produtos de rede foi divulgado. Isso incluiu vulnerabilidades em servidores VPN Pulse Secure e Fortinet, gateways de rede Citrix, sistemas de gerenciamento de frota de computadores Zoho e muitos outros.
Embora alguns “corretores de acesso inicial” tenham feito parcerias com equipes de ransomware, muitos não tinham a reputação necessária no mercado de cibercrime para estabelecer essas parcerias. Em vez disso, esses corretores começaram a vender suas redes comprometidas em fóruns mais populares, como XSS, Exploit, RAID e outros.
Redes que valem mais
No ano passado, os anúncios começaram a mostrar valores cada vez maiores para o acesso a redes crackeadas. Com base em seu monitoramento, a Kela disse que o preço médio de uma rede comprometida em fóruns clandestinos é de US$ 4.960, com a faixa de preço indo de US$ 25 a US$ 102.000.
O gerente de produto da companhia, Raveed Laeb, disse que o preço de um anúncio de acesso à rede geralmente varia dependendo de fatores como o valor da empresa e o nível de privilégio.
As redes com uma conta de administrador têm preço maior do que aquelas em que a conta comprometida tem apenas privilégios de usuários convencionais. No entanto, isso não parece desestimular os vendedores – e nem os compradores. Afinal, alguns agentes de ameaças procuram apenas um ponto de apoio inicial, tendo seus próprios recursos de escalonamento de acesso. Ou seja, precisam apenas de uma faísca para criar uma grande fogueira.
Outra observação interessante é que os corretores de acesso inicial tendem a considerar o “valor” de uma empresa – ao invés do tamanho de sua rede – para formular os preços. Assim, citam estatísticas como faturamento anual, e não o número de terminais que podem ser comprometidos.
Isso mostra que os corretores de acesso inicial muitas vezes estão direcionando seus anúncios para equipes de ransomware. Afinal, nessa modalidade a receita e os lucros anuais da vítima são usados para negociar o pedido de resgate. Fica em segundo plano então o tamanho da rede, que geralmente é menos significativo. O motivo é que um ataque de ransomware bem sucedido muitas vezes pode paralisar uma empresa mesmo sem bloquear dezenas de seus computadores.
Entre os destaques, a Kela disse que encontrou corretores vendendo acesso a uma grande empresa marítima e de construção naval por US$ 102.000, a um banco russo (US$ 20.000), a uma empresa de aviação turca (US$ 16.000) e uma franquia canadense (US$ 10.600), com o acesso à rede dessas vítimas sendo vendido em questão de horas. Isso mostra o potencial desse negócio: lucro rápido e vendas numerosas, às custas de empresas que não possuem o devido cuidado com suas próprias redes.
This post is also available in: Português
