Gli attacchi ransomware sono in aumento e per le vittime di questi crimini è un problema costoso. Per gli attori dall'altra parte, invece, la tendenza offre nuovi modi per fare soldi. Un esempio è il ruolo del broker di accesso iniziale.
Gli attacchi ransomware più redditizi possono essere effettuati solo accedendo prima a una rete sicura e i criminali informatici non sempre hanno la capacità di raggiungere questo obiettivo. Possono invece acquistare l'accesso necessario da un broker.
Quindi cosa sono i broker di accesso iniziale e come puoi proteggerti da essi?
Cosa sono i broker di accesso iniziale?
I broker di accesso iniziale sono attori dannosi che forniscono l'accesso a reti sicure a pagamento. Sono spesso hacker, ma possono anche accedere alle reti utilizzando l'ingegneria sociale.
La loro motivazione non è quella di effettuare essi stessi attacchi informatici, ma piuttosto di vendere l'accesso a un'altra parte. A causa della redditività di attacchi ransomware e altri attacchi informatici, ci sono molti potenziali acquirenti per un prodotto del genere.
Ciò consente ai broker di accesso iniziale di realizzare profitti significativi nonostante svolgano solo un piccolo ruolo nel crimine informatico nel suo insieme.
Come i broker di accesso iniziale ottengono l'accesso
I broker di accesso iniziale utilizzano una varietà di tecniche per accedere a reti sicure. Se una rete utilizza software obsoleto, gli hacker potrebbero essere in grado di introdursi rapidamente. Possono anche tentare di capire le credenziali dell'utente usando tecniche di forza bruta come la spruzzatura di password. Oppure potrebbero provare il phishing, o spear phishing, attacchi contro utenti noti.
Quali tipi di accesso vendono?
I broker di accesso iniziale vendono principalmente le credenziali dell'utente. Una volta ottenuti, consentono al titolare di accedere ad una rete alla stregua di un legittimo utente.
Le credenziali utente vengono vendute principalmente per protocolli desktop remoti e VPN. Alcuni broker di accesso iniziale portano avanti l'idea installando software di gestione remota su server compromessi. Le credenziali per quel software vengono quindi vendute fornendo un accesso conveniente.
Dopo aver acquistato le credenziali, un utente malintenzionato è in grado di cercare informazioni preziose, eventualmente disabilitare le funzionalità di sicurezza e potenzialmente installare qualsiasi programma che gli piace. In altre parole, le credenziali possono essere utilizzate per avviare un'ampia gamma di attacchi informatici.
Chi acquista dai broker di accesso iniziale?
I broker di accesso iniziale vendono principalmente agli operatori di ransomware. Vendono al miglior offerente e il ransomware tende a essere il modo più redditizio per utilizzare il loro prodotto. Ma l'accesso iniziale può anche avere valore per altre parti. Se un server dispone di informazioni riservate, le credenziali dell'utente possono essere acquistate allo scopo di ottenerle.
I broker di accesso iniziale vendono i loro prodotti sui mercati del dark web. Le loro pagine di prodotto includono informazioni come il tipo di server, il livello di accesso e le entrate dell'azienda a cui appartiene il server. Ciò consente ai criminali informatici intenti a un tipo specifico di attacco informatico di trovare facilmente le credenziali adatte a tale scopo.
Il prezzo dell'accesso iniziale varia da meno di cento dollari a molte migliaia. Le credenziali hanno in genere un prezzo in base alle entrate della società proprietaria della rete.
In che modo i broker di accesso iniziale provocano un aumento degli attacchi ransomware
Il ransomware non è un prodotto software complicato. È anche ampiamente disponibile per l'acquisto sul dark web. Molti operatori di ransomware non sono hacker esperti. Sono persone normali in possesso di uno strumento potente.
La capacità di fare soldi con il ransomware non è quindi dettata da capacità tecniche o persino dall'accesso al software. È limitato dal fatto che è difficile trovare reti su cui effettuare attacchi.
Le grandi organizzazioni spendono ingenti somme di denaro per proteggere le proprie reti proprio per questo scopo. Sfondare quindi richiede molto impegno e molti tentativi di infiltrazione si rivelano infruttuosi.
I broker di accesso iniziale rimuovono questa barriera all'ingresso. Hanno aperto un negozio e annunciano che hanno già fatto tutto il duro lavoro. Con un piccolo compenso (rispetto ai potenziali guadagni), chiunque può accedere alla rete di un'organizzazione altrimenti professionale.
Ciò ha effetti significativi sull'industria del ransomware nel suo insieme.
Offre un'efficiente divisione del lavoro consentendo a tutte le parti di concentrarsi su ciò che sanno fare meglio. Gli hacker possono monetizzare la loro capacità di accedere rapidamente alle reti e i gruppi di ransomware possono concentrarsi esclusivamente sul lato dell'estorsione.
Consente inoltre alle persone con competenze tecniche limitate di eseguire attacchi senza effettivamente apprendere nulla. Il ransomware viene spesso venduto sia con le istruzioni per l'utente che con l'assistenza clienti. I broker di accesso iniziale forniscono quindi le credenziali utente necessarie per trarne profitto.
Un altro problema con i broker di accesso iniziale è che aggiungono un altro livello al settore dei ransomware. Se l'autore di un attacco ransomware viene perseguito, è improbabile che il broker di accesso iniziale che ha fornito l'accesso venga perseguito e viceversa. Ciò rende nel complesso più difficile il perseguimento e la prevenzione degli attacchi ransomware.
Come proteggersi dai broker di accesso iniziale
I broker di accesso iniziale non prendono di mira i privati, semplicemente non è redditizio farlo. Invece, prendono di mira le aziende. Se sei responsabile di una rete potenzialmente preziosa, ci sono molti passaggi che puoi intraprendere per rendere l'accesso più difficile.
- Tutto il software deve essere mantenuto aggiornato con le patch installate immediatamente dopo il rilascio. Ciò impedisce agli attori malintenzionati di sfruttare vulnerabilità note.
- Chiunque abbia accesso a una rete dovrebbe riflettere sulla minaccia rappresentata dalle e-mail di phishing e spear phishing.
- L'uso di password complesse dovrebbe essere imposto a tutti gli utenti. Agli utenti dovrebbe inoltre essere impedito di utilizzare la stessa password in più account.
- Dovrebbe essere imposto l'uso dell'autenticazione a più fattori. Se l'accesso a una rete richiede un'ulteriore forma di autenticazione, le credenziali utente rubate vengono rese inefficaci.
I broker di accesso iniziale sono una minaccia importante di cui essere consapevoli
I broker di accesso iniziale sono una minaccia importante di cui le aziende devono essere consapevoli. Una volta che ottengono l'accesso a una rete, pubblicizzano l'opportunità sul dark web e consegnano le credenziali al miglior offerente.
Ciò offre all'acquirente la possibilità di rubare informazioni o installare ransomware che richiede un esborso finanziario significativo per essere risolto.
Per prevenire questo tipo di intrusione, è importante proteggere le reti aggiornando regolarmente il software e assicurandosi che tutti gli utenti agiscano in modo responsabile.
Come gli hacker stanno usando la nostra stessa tecnologia contro di noi
Leggi Avanti
Argomenti correlati
- Sicurezza
- Sicurezza informatica
- ransomware
Circa l'autore
Elliot è uno scrittore di tecnologia freelance. Scrive principalmente di fintech e cybersecurity.
Iscriviti alla nostra Newsletter
Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!
Clicca qui per iscriverti