‘Acesso à rede’ vendido em fóruns de hackers estimado em US$ 500.000 em setembro de 2020
O número de anúncios promovendo acesso a “redes hackeadas” triplicou em setembro de 2020 em comparação com o mês anterior.
O número de anúncios em fóruns de hackers que vendem acesso a redes de TI comprometidas triplicou em setembro de 2020, em comparação com o mês anterior.
Em um relatório publicado hoje e compartilhado com a ZDNet, a empresa de segurança cibernética KELA disse que indexou 108 listagens de “acesso à rede” postadas em fóruns de hackers populares no mês passado, avaliadas coletivamente em um preço total pedido de cerca de US $ 505.000.
Destes, a KELA disse que cerca de um quarto das listagens foram vendidas a outros atores de ameaças que buscam atacar as empresas comprometidas.
O MERCADO DE “ACESSO INICIAL”
Esse tipo de anúncio tem sido postado em fóruns de hackers há anos, mas na maior parte, eles têm sido um nicho no mercado de “acesso inicial”, com a maioria dos grupos de crimes cibernéticos optando por comprar acesso a redes comprometidas por meio de mercados criminosos vendendo acesso RDP (chamados de “lojas RDP”) ou de operadores de malware botnet (conhecidos como Malware-as-a-Service ou “instalações de bots”).
No entanto, a partir do verão de 2019, um grande número de vulnerabilidades nos principais produtos de rede foi divulgado. Isso incluiu vulnerabilidades em servidores VPN Pulse Secure e Fortinet, gateways de rede Citrix, sistemas de gerenciamento de frota de computadores Zoho e muitos outros.
Os atores da ameaça exploraram rapidamente essas vulnerabilidades, comprometendo os dispositivos em massa. Muitos desses sistemas tiveram que ser monetizados de uma forma ou de outra.
Embora alguns “corretores de acesso inicial” tenham feito parceria com gangues de ransomware , muitos não tinham as conexões profundas e a reputação necessária em uma economia fechada do crime cibernético para estabelecer essas parcerias desde o início. Em vez disso, esses corretores começaram a vender suas redes comprometidas em fóruns de hackers populares como XSS, Exploit, RAID e outros.
Mas os dispositivos de rede eram apenas uma parte das listagens nesses fóruns.
Muitos corretores também venderam acesso a terminais RDP ou VNC comprometidos. A maioria desses sistemas é comprometida por meio de ataques de força bruta lançados com botnets IoT, enquanto outros são comprados em lojas RDP clássicas, têm seu acesso expandido dos níveis de usuário para administrador e, em seguida, revendidos em fóruns a preços mais altos.
ALGUMAS REDES FORAM VENDIDAS POR DEZENAS DE MILHARES DE DÓLARES AMERICANOS
No ano passado, esses anúncios aumentaram constantemente em frequência e no preço do acesso a redes hackeadas.
Com base em seu monitoramento, a KELA disse que o preço médio de uma rede comprometida vendida em fóruns de hackers é de cerca de US $ 4.960, com a faixa de preço indo de US $ 25 a US $ 102.000.
O gerente de produto da KELA, Raveed Laeb, disse que o preço de um anúncio de “acesso à rede” geralmente varia dependendo de fatores como o valor da empresa e o nível de privilégio.
Obviamente, as redes com uma conta de administrador comprometida têm mais valor do que as redes em que a conta comprometida tem apenas privilégios de usuário regulares. No entanto, isso não parece dissuadir o vendedor, pois alguns atores de ameaças estarão apenas procurando um ponto de apoio inicial, tendo seus próprios recursos de escalonamento de acesso.
Em alguns casos, são os corretores de acesso inicial que fazem o escalonamento de privilégios, com o exemplo perfeito sendo um vendedor que dobrou o preço de sua listagem obtendo acesso a uma conta de administrador após postar uma versão inicial de seu anúncio.
Outra observação interessante é que os corretores de acesso inicial tendem a usar o “valor” de uma empresa em vez do tamanho de sua rede ao decidir o preço, citando estatísticas como receita anual em vez do número de terminais.
Isso ilustra que os corretores de acesso inicial muitas vezes estão adaptando seus anúncios para gangues de ransomware, em que a receita e os lucros anuais da vítima são usados para negociar o pedido de resgate, em vez do tamanho da rede, que geralmente é menos significativo como um ataque de ransomware bem colocado muitas vezes pode paralisar uma empresa, mesmo sem bloquear milhares de seus computadores.
A KELA, que analisou alguns dos anúncios mais caros postados em setembro, disse que encontrou corretores vendendo acesso a uma grande empresa marítima e de construção naval (vendida por $ 102.000), um banco russo ($ 20.000), uma empresa de aviação turca ($ 16.000) e uma franquia canadense (US $ 10.600), com acesso à rede desta vítima sendo vendido em apenas algumas horas.
UM MERCADO MAIOR DE “ACESSO INICIAL” ESTÁ ESCONDIDO NAS SOMBRAS
No entanto, KELA diz que fóruns de hackers como os que está monitorando fornecem apenas uma visão resumida de todo o mercado de “acesso inicial”, que é muito, muito maior.
Os corretores de acesso inicial também operam em círculos fechados, como lojas RDP privadas, por meio de comunicações criptografadas com clientes selecionados ou por meio de plataformas de Malware-as-a-Service, como botnets de malware.
Rastrear vendas e vítimas por meio desses meios é impossível, mas o vislumbre que as empresas de segurança estão obtendo ao observar as vendas em fóruns públicos de hackers mostra o quão lucrativo esse mercado pode ser e como um RDP ou equipamento de rede hackeado pode encontrar seu caminho nas mãos de um atacante de baixo nível executando alguma exploração compartilhada publicamente para gangues de malware profissionais que operam ransomware ou malware de POS.
